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Koöszönetnyilvánítás 


A kriptográfia egy végtelenül izgalmas és lenyűgöző fejezete az emberi gondolkodásnak. Kialakulását 
elősegítették a történelmi események és az emberi gondolkodás jeles képviselői. A háborúk és konfliktusok 
gyorsították a fejlődését, ami szomorú tény. Ugyanakkor kiváló tudósok bekapcsolódása a titkosítás világába 
megtermékenyítően hatott a területre, újabb és újabb diszciplínák segítették, illetve segítik most 15, a biztonságos 
információ áramlást és tárolást a 21. században. Ez a nagyon összetett és sok forrásból táplálkozó 
tudományterület ma már tananyag a világ felsőfokú oktatásában, így Magyarországon 15. Ahhoz, hogy a 
következő oldalakon olvasható, tanulható tananyag elkészüljön sok-sok segítséget kaptam hallgatóimtól és 
kollégáimtól. Valószínűleg az ő érdeklődésük és problémaérzékenységük nélkül nem 1s vállalkoztam volna erre 
a munkára. 


Ezúton szeretnék köszönetet mondani Dr. Olajos Péternek és Dr. Tómács Tibornak a sok türelmes segítségért, 
amit mindenkor megkaptam Tőlük. Tanítványaim természetes kíváncsisága és az elkészült munkáik sokat 
lendítettek az elkészült munka színvonalán. Ezúton köszönöm Kiss Norbertnek és Mészáros Gábornak az AES 
demonstrációs programot, Győrfi Györgynek és Csintalan Ádámnak a Playfair programot, Csonka Istvánnak és 
Trombitás Viktornak a DES szemléltetését. Köszönettel tartozom Radácsy Tivadarnak, Vass Tamásnak, Mátéfi 
Beátának, Kovács Juditnak és sok szakdolgozómnak, hogy megmutatták nekem, hogy kimeríthetetlen 
érdekesség közelében vagyunk, amikor kriptográfiával foglalkozunk. 


Külön köszönöm Dr. Egr1-Nagy Attilának és Vrecenár Csabának, hogy a munka angol nyelven 1s elkészülhetett. 


Végül köszönöm családomnak, hogy elviselte azt a lázas munkát, amit a jegyzet elkészítése igényelt. 
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1. fejezet - Történeti áttekintés 


1. Bevezetés 


A kriptográfia története legalább olyan bonyolult és szövevényes, mint az emberiség történelme. Valószínűleg 
nehéz ezt az állítást tételesen bizonyítani, de ha a teljesség igénye nélkül górcső alá vesszük az elmúlt 
évszázadokat, akkor szinte minden történelmi esemény egyben a kriptográfia pillanata 15. Ahhoz, hogy pontosan 
értsük, hogy milyen utakat kellett bejárni a mai alkalmazásokig, tegyünk lépéseket az alapvető fogalmak 
megértéséhez. 


A kriptográfia szó ógörög eredetű kifejezés, amely a , kryptos" azaz , rejtett", illetve , grápho" azaz , írok" 
szavakból jött létre. Magyarul legegyszerűbben titkosírásnak fordíthatjuk, de mivel az írástól eléggé távol áll 
már a mai használat, szívesen használjuk a kriptográfia kifejezést. 


Az alapproblémát egyszerűen úgy tudjuk megfogalmazni, hogyan tudunk üzenetet küldeni oly módon, hogy a 
fogadó fél könnyen fejtse a titkos levelet, ugyanakkor mindenki más részére a fejtés majdnem lehetetlen legyen 
vagy legalább 15 nagyon sok időbe teljen. A későbbiekben majd részletesen kitérünk arra, hogy mit 15 értünk 
nagyon sok időn, egyenlőre azonban megelégszünk a hétköznapi értelmezéssel. 


A titkosítandó szöveg jelentése vagy jelentés nélkülisége számunkra lényegtelen, hisz legtöbbször már egy 
kódolt szöveget titkosítunk, ami feltehetőleg olvashatatlan betűk illetve számok halmaza csupán. Kódolás alatt a 
továbbiakban azt értjük, hogy a szövegben szereplő betűket (jeleket) számokkal helyettesítjük. Példa erre az a 
szokásosnak mondható kódolás, hogy az ABC betűit a sorszámukkal helyettesítjük. 


A régi korokban a titkosított szöveg legtöbbször betükből állt, jelenleg ezek a szövegek egyszerű bitsorozatok 
alakját veszik fel. 


A következő fejezetekben jól elkülöníthető két rész, ami történetileg és szemléletét tekintve 15 igen különböző. 
Az egyik részt klasszikus kriptográfiának szokásos nevezni, amely története a 20. század közepéig tart. Ebben 
az irányban a találékonyság nagyon sokszor nélkülözi a matematikai módszereket, ötletek egymás utánja adja az 
alkalmazott módszert, amelyeket nagy titokban tartanak. Ezek a sokszor nagyon szellemes ötletek, egy-egy 
történelmi korhoz, történelmi eseményekhez kötődnek. Nagy többségük számítógép segítségével, a 
későbbiekben részletezett statisztikai módszerek segítségével megoldhatók. 


A másik részt nyilvános kulcsú kriptográfiának nevezzük, utalva arra a tényre, hogy ezek a módszerek úgy 
működnek, hogy a titkosítási módszert és titkosítási kulcsokat nyilvánosságra hozzuk. Természetesen egy 
, titkos csapóajtót", a fejtési kulcsokat megtartjuk, hogy a titkosság célját elérjük. Ezek a módszerek matematikai 
igazságokon nyugszanak és megfejtésükhöz elképesztő mennyiségű gépidő szükségeltetik. 


A klasszikus és nyilvánoskulcsú kriptográfián kívül érdemes egy másik felosztást 15 megemlítenünk. Azoknál a 
módszereknél, ahol a küldőnek és a fogadónak 1s ismerni kell a titkosításhoz használt kulcsot, illetve lényegileg 
ugyanazzal a módszerrel titkosítunk és fejtünk, szimmetrikus kulcsú titkosításról beszélünk. Ilyen módszer az 
összes klasszikus módszer, de mai korunkban is találunk ilyeneket, például a későbbiekben megismert DES 
vagy AES 15 így működik. 


Sokáig elképzelhetetlen volt, hogy legyen olyan módszer, amely jól működik a két fél közös titka nélkül, illetve 
úgy, hogy hiába ismerjük a titkosító kulcsot megfejteni nem tudjuk az üzenetet. Aztán a 20. században sikerült 
megoldani a talányt, az ilyen módszereket aszimetrikus kulcsú titkosításnak nevezzük. Ilyen például a később 
részletezett RSA módszer. 


2. Alapvető fogalmak 


A szövegtől és a titkosítás fajtájától függetlenül felírhatunk egy logikai sorrendet, amelyet többnyire követünk 
eljárásainknál. A természetes nyelvben megírt / -vel jelölt szöveget kódolnunk kell, majd titkosítani, ezek után a 


ÚT — ELV vel jelölt titkosított szöveghez jutunk. Az így kapott szöveget, ha elég Jó módszert sikerült 
választanunk nyugodtan továbbíthatjuk. A címzett a Ux-val jelölt fejtési kulcs ismeretében előállíthatja a 


Dr (Cr) megfejtett szöveget, melyet dekódolva az eredeti szöveghez jutunk. Precízebben fogalmazva fogadjuk 
el a következő két definíciót kundulási pontnak. 
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Történeti áttekintés 


1.1. Definíció. Egy kódolási séma vagy kriptorendszer egy (Pe, CK E, D) ötös a következő 
tulajdonságokkal: 


1. 


PF, Cés K véges halmazok, F a nyílt szöveg tér, C a rejtett szöveg tér és A a kulcstér. F 
elemeit nyílt szövegnek, C elemeitt rejtett szövegnek, A elemeit kulcsoknak nevezzük. Egy 
üzenet a nyílt szöveg szimbólumatból álló szó. 


E - Ex]k E A azoknak az Ex:P e C függvényeknek a családja, amelyeket a 
rejtjelezéshez használunk. 


D — D.lk EA azoknak a Dk:CP függvényeknek a családja, amelyeket a 
visszafejtéshez használunk. 


Mindegyik e E€ K. kulcshoz van egy d E KI kulcs, melyekre minden P £ F nyílt szöveg 
esetén 


Dag (Be (p) ) — P. 


Érdemes megjegyezni, hogy a jelölésrendszer erőteljesen kötődik az angol nyelvű szakirodalomhoz, amely 
Igazán szerteágazónak mondható. (A 1 a , text" , szöveg" rövidítése, Ek az , encrypt" , titkosít", DB , decrypt" 
, fejt" szóból származik, ahol a k index az alkalmazott kulcsra utal.) A bőséges szakirodalomból a könyv végén 
található egy összefoglaló. 


Sir Francis Bacon (1561-1626), aki politikával és filozófiával foglalkozott, elmélkedett arról 15, hogy milyen 15 
egy Jó kriptorendszer. Véleménye szerint legyenek az Ex és B. módszerek egyszerűek, a Dx fejtési kulcs 
nélkül ne lehessen fejteni, végül legyen a titkosított szöveg ártatlan kinézetű. Nyilvánvalóan a számítógépek 
korában minden bitsorozat ártatlan kinézetű, tehát ez a követelmény nem teljesíthető, de a többit továbbra 15 
útmutatóul fogadjuk el. 


Sir Francis Bacon 





Sir Mrancis HMacon 


L561 - 1826 
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Valószínűleg mindenki számára nyilvánvaló, hogy senki nem teheti meg, hogy csak a titkosítással foglalkozzon, 
a feltörés próbája nélkül. Kitalált módszereink használhatóságát úgy tesztelhetjük, hogy az illegális betolakodó 
helyébe képzeljük magunkat és megpróbáljuk feltörni a rendszert. Sokszor izgalmasabb a rendszer feltörésén 
mesterkedni, mint a titkosítási módszert megalkotni. Ugyanakkor nagyon sok új ismerettel kecsegtetnek ezek a 
próbálkozások, a megismerés új dimenzióira nyitnak kaput. 


A továbbiakban feltételezzük, hogy ismerjük a titkosítási módszert és fő feladatunk, hogy ráleljünk a 
megfejtésre. 


A fő kérdés, hogy mikor van egyáltalán lehetőségünk a fejtésre. Több esetet érdemes megkülönböztetni. 


a) Tegyük fel, hogy ismert valamely titkosított szöveg, ami lehetőség szerint elég hosszú. Ekkor, ha 
rendelkezünk bizonyos statisztikai információval az adott nyelvről, akkor a klasszikus rendszerekben 
megpróbálkozhatunk a fejtéssel. 


b) Ha ismerünk néhány a Ek (d ) ) párt, akkor szintén van esélyünk a fejtésre. 


c) Ha elég ügyes a betolakodó és legális felhasználónak tünteti fel magát, akkor esély van olyan í, Ex (4) ) 
párok megszerzésére, amit ő választ. Így szintén jó az esély a fejtésre. 


Itt említjük meg, hogy mivel főként matematikai nézőpontból vesszük szemügyre a kriptográfiát, eltekintünk 
néhány történetileg fontos titkosítási módszer tárgyalásától. Ilyen például a Kód könyvvel való titkosítás, amit a 
titkosítási rendszerek arisztokratájának 15 neveznek, ahol 15 mindkét félnek külön szótára van. [de sorolható az 
üzenet elrejtése láthatatlan tintával vagy egy frissen borotvált fejen, amit a haj később benő. Az utóbbi 
módszereknek a neve steganográfia. A kriptográfia és a steganográfia közötti fő különbség, hogy míg az 
előbbinek az a célja, hogy megakadályozza illetéktelenek számára a titok elolvasását, az utóbbié az, hogy az 
illetéktelenek ne 1s tudjanak a titok létezéséről. A digitalizált képek remek lehetőségek adnak a steganográfia 21. 
századi alkalmazására. Ha a képpontok színét meghatározó információban egy bitet megváltoztatunk, a 
szemlélő számára a változás (nem túl sok pont használata esetén) nem érzékelhető, ugyanakkor a beavatott 
számára a megváltoztatott bitekből az információ kinyerhető. Hasonlóan lehet a digitálisan rögzített hangokat 15 
felhasználni a steganográfiában. 
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"Sure, at first it sounded great — an intuíitive "Sure, át first ít sounded great — an intuitiíve 
network adapter that helps people write memos network adapter that helps people write memos 
by finishing their thoughts for them." by finishing their thoughts for them," 
Résdy [eanholdup to 138547 bytes 4 
steganography.zip 
4 
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2. fejezet - Monoalfabetikus 
rendszerek 


Ebben a fejezetben klasszikus titkosítási rendszereket vizsgálunk (kiváló áttekintés olvasható a témáról Simon 
Singh [17] munkájában). A régi idők titkosításait írjuk le, illetve fejtjük, megjegyezve, hogy ezeket a 
módszereket — a modern idők nyilvános kulcsú rendszereivel szemben - rejtették az avatatlan szemek elől. 


Simon Singh 





Az első titkosírást, amelyről tudunk, a spártaiak szkütaléját már a Kr. e. VII. században használták. 





Aineiasz Taktikosz görög szerző Kr. e. 360 körül írt hadászati munkájában pedig több módszert felsorol. A 
klasszikus módszereket leggyakrabban háborús körülmények között használták, jellemző módon Ainelasz 
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Taktikosz munkája 15 a várvédelemmel foglalkozik. Azt azonban nem szeretnénk állítani, hogy ez az egyetlen 
oka a titkosításnak. A diplomácia, az államigazgatás, a tudomány és a magánélet mind-mind indokolhatták a 
kriptográfia használatát az elmúlt időkben. 


Egy igazán különleges és magyar vonatkozású érdekesség Gárdonyi Géza naplója. Gárdonyi saját magának egy 
egyedi titkosírást fejlesztett ki, amely különös alakú jelekből állott. Használatukat annyira begyakorolta, hogy 
alkalmazásukkal a rendes folyóírással megegyező sebességgel tudott írni. Hogy gondolatait még jobban elrejtse, 
naplójának fedelére a , Tibetan grammar" felirat került. De a furcsa írás nem tibeti, de nem 15 kínai, koreai, vagy 
indiai: ezeket az írásjeleket a világon sehol sem használják. Ezek Gárdonyi saját találmányai, alakjuk azonban 
valóban valamiféle egzotikus írás képét idézi fel. 


Gárdonyi Géza 





A titkos napló 1922-től, az író halálától egészen 1965-ig megfejtetlen maradt. Ekkor az egri Gárdonyi Géza 
Emlékmúzeum nyílt pályázatot hirdetett az írás megfejtésére. Gilicze Gábor egyetemi hallgató és Gyürk Ottó 
honvéd egymástól függetlenül megoldották a problémát. A Titkosnaplót pedig teljes egészében kiadták. 


Gárdonyi Géza naplója 
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A klasszikus titkosítások feltörésében nagy segítséget nyújtanak számunkra a nyelvészek által vizsgált betű 
illetve betűkapcsolatok statisztikái és természetesen a számítógépek. 


Nem ismeretes ki jött rá elsőként, hogy a betük gyakoriságának ismerete felhasználható a titkosírások 
megfejtésében, a módszer első írásba foglalójának nevét azonban ismerjük, Jákúb ibn Iszhák al-Kindi, az 
, arabok filozófusa", tette ezt meg IX. században. Legnagyobb értekezése, amelyet csak 1987-ben fedeztek föl 
az isztambuli Szulejmánia Ottomán Archívumban, a Titkos üzenetek megfejtése címet viselt. 


A statisztikai módszer használatát a következőképpen kell elképzelnünk. A titkosított szöveget statisztikai 
módon megvizsgáljuk, azaz feltérképezzük az egyes betük, betűpárok, sőt némely esetben nagyobb 
betűcsoportok előfordulásának gyakoriságát. Az így kapott gyakoriságokat összehasonlítjuk a természetes nyelv 
általunk ismert gyakoriságaival, így keresve megfelelő egyezéseket. Egyszerű esetben egy betű megtalálása 
esetén a rendszer feltörhető, de természetesen bonyolultabb rendszereknél ez nem ilyen egyszerű feladat. 


Az első komolyabb gyakoriságanalízist a modern korban angol nyelven végezték el. Összesen 100362 betűn 
alapszik H. Beker és F. Piper állította össze, s első ízben a Cipher Systems The Protection of Communication 
című művükben adták közre. Az ő adataikat tartalmazzák a következő táblázatok. 







Jlöfordulás 









































A magyar nyelv statisztikai tulajdonságai szintén ismertek. A leggyakrabban előforduló magánhangzók az , a" 
és , e", még a mássalhangzók esetén , t, I" és , n" betűk. 


7 
XMLmind XSL-FO Converter 


Monoalfabetikus rendszerek 


Természetesen a statisztikai feltérképezés nem csak betükre, hanem betűpárokra, betű hármasokra, illetve 
szavakra 1s kiterjed. 


A nyelvre nem csak szavai, mondatszerkezete jellemző, hanem betűkészlete 15. Egyes nyelvek olyan karakterrel 
rendelkeznek, melyek más nyelvekből hiányoznak még akkor 1s, ha alapvetően azonos írásmódot használnak. 
Ilyen vizsgálatokból általában kiderül, hogy melyik nyelvvel 15 van dolgunk. 


A legtöbb esetben feltehető, hogy ismerjük a nyelvet, sőt az adott nyelv gyakoriság szempontjából jól fel van 
térképezve. Ritka nyelvcsalád természetesen jóval nehezebb a feladat, de ilyenkor nyilvánvaló a legális fejtő 15 
bajban lehet, hiszen kevés ember érti az adott nyelvet. 


Az egyik legismertebb példája a nem feltérképezett nyelvek használatának a második világháborúban használt 
navahó nyelv volt. Az egyik legnépesebb, de írásbeliséggel nem rendelkező indián törzs nyelve különösen 
alkalmas volt arra a feladatra, hogy szóbeli üzeneteket küldjenek egymásnak a hadszíntéren. 





A titkosított szövegben , helyettesítő kifejezéseket" használtak, az üzeneteket nem fordították le navahóra, 
hanem kitaláltak egy meglehetősen bonyolult rendszert, amelyben az angol katonai szavak, fogalmak 
mindegyikének megfeleltettek egy navahó szót. A megfelelő szó állt ugyan valamilyen logikai kapcsolatban az 
angol kifejezéssel a memorizálást megkönnyítendő (például kézigránát helyett krumpli), de nem annak fordítása 
volt. Így a kódba be nem avatott navahó beszélő számára az üzenetek értelmetlenek voltak. A navahó 
kódbeszélők résztvettek a koreai és vietnámi háborúkban 1s. (Csak a teljesség kedvéért jegyezzük meg, hogy a 
titkosság miatt a résztvevő katonák semmiféle hivatalos elismerésben nem részesültek 1982-ig. Ekkor Reagan 
elnök hivatalosan 15 köszönetet mondott a katonáknak, és augusztus 14-ét a , navahó kódbeszélők napjának" 
nyilvánította. Arizona állam fővárosában, Phonixben, 2008-ban szobrot avattak tiszteletükre.) 
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Számítógépes segítség nélkül a klasszikus rendszerek kódolása és fejtése 15 igen nehéz feladat, ezért egyszerű 
segédprogramokat készítettünk a szemléltetés érdekében. 


Gyakorlati szempontból megállapodunk abban, hogy a következőkben, ha titkosítunk, kizárólag ékezet nélküli 
betűket használunk és magyar nyelv használata esetén, kivesszük a ritkán előforduló § betűt. A továbbiakban 
tehát feltételezzük, hogy 25 betűből álló abc-vel dolgozunk. 


Elsőként az úgynevezett monoalfabetikus rendszerekkel foglalkozunk, ez számunkra azt jelenti, hogy az egyes 
betük helyettesei a titkosítás során nem változnak. Ez nagyon megkönnyíti fejtésüket, így nyilvánvalóan ezeket 
már nem használják, leginkább történetiségük miatt érdemes őket megemlítent. 


1. Ceasar titkosítás 


Az első általunk vizsgált rendszer a Ceasar titkosítási rendszer, amely az ABC egy egyszerű elcsúsztatásából 
áll. 


A behelyettesítéses módszer katonai célokra történő felhasználását Julius Caesar: A gall háborúk című műve 
dokumentálja először. 


Julius Caesar 
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Caesar olyan gyakran folyamodott a titkosíráshoz, hogy Valerius Probus egy egész értekezést írt az általa 
használt kódról, ez azonban sajnos nem maradtak ránk. Suetoniusnak köszönhetően azonban, aki a II. században 
megírta Cézárok élete című művét, részletes leírást kapunk a Julius Caesar által használt behelyettesítéses 
kódról. Caesar minden betű helyett az ábécében utána következő harmadikat írta le. 





Nyilvánvalóan az eltolás mértékének, azaz egyetlen betű helyettesítőjének felismerése esetén a módszer 
fejthetővé válik. Így akár néhány átgondolt próbálkozás után könnyen eredményre jutunk. 


Ceasar.zip 


2. Kulcsszavas Caesar titkosítás 


Ugyanazon az elven alapul, mint az előző Caesar módszer, csak itt van egy kulcsszavunk és azzal toljuk el az 
ABC-t. A kulcsszó választásánál (most és a továbbiakban 15) arra kell ügyelnünk, hogy olyan szót válasszunk, 
amely különböző betűkből áll. 


Titkosítsuk a kriptográfia szót! 


Kulcsszó: SOMA 


AJB]CIDJEIFIGIH]I[7 








Roy] s Tolma TsTeTPTETrTei 


KRIPTOGRAFIA -— HOFNILDOSCEFS 


A Ceasar rendszer kissé bonyolultabb fajtája, amikor a szöveget betűcsoportokra osztjuk és egy egységen belül 
az eltolás mértéke betünként különböző. Ekkor, ha sikerül rátalálnunk, hogy hány betünként azonos az eltolás 
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mértéke, hasonló módszerekkel, mint a Ceasar rendszernél, itt 15 célhoz érünk. Ennél az egyik legegyszerűbb 
titkosítási eljárásnál éppen úgy, mint a többi klasszikus rendszernél, egyszerű statisztikai vizsgálatok hamar 
célba juttatnak. 


3. Polybios titkosítás 


A következő réges régi titkosírás a Polybios. Polübiosz a harmadik pun háború nagy római hadvezérének, 
Cornelius Scipionak volt a tanácsadója. A következő kártya segítségével titkosíthatunk, ahol 15 minden betűnek 
egy betűpár felel meg. 


0 





Ebben az esetben tetszőleges betű sor és oszlop indexének leolvasásával titkosíthatunk. Minden betűnek egy 
betűpár felel meg. Igy például a XX betűnek a / A pár, az (? betűnek a /[7 felel meg. Az indexeket természetesen 
tetszőlegesen választhatjuk a betük vagy esetleg más jelek világából. Az ábécé betűit magánhangzó párokkal 
helyettesítjük, ezeket a párokat észrevétlenül elrejthetjük szavakban. 


Íme egy titkosított szöveg: 
ITT ALUDT, AKI ELADOTT EGY UBORKAGYALUT. ITTHON CSÜCSÜLÖK. U 


A fejtéshez gyűjtsük páronként össze a szöveg magánhangzóit. Ekkor a következő párokat kapjuk: IA UA IE 
AO EU OA AU IO UU 0U. 


Felhasználva az előzőekben megadott táblázatot megfejthetjük a titkosított üzenetet. Az elrejtett üzenet, KÜLDJ 
PENZT. 


A titkosított szöveget az előzőekhez hasonlóan statisztikai módszerekkel fejthetjük, ügyelve arra, hogy 
betűpárok személyesítenek meg betüket. 


4. Hill módszere 


1929-ben Lester S. Hill fejlesztette ki a róla elnevezett titkosítást, amely mátrixokat használ és tetszőleges 
hosszúságú tömböket képes titkosítani. 


Lester S. Hill 
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Hill módszerének alkalmazásához először egy egyszerű kódolást végzünk, amelyben az ABC betűit 
sorszámukkal helyettesítjük, azaz: 





Ezen helyettesítés után minden kapott értéketl mod 25) tekintünk. A titkosításhoz egy tetszőleges n x n típusú 
invertálható 7 mátrixot használunk, amelynek elemeit természetesen mod 25) írjuk. 


A titkosítandó szavakat szóközök nélkül leírjuk, majd n betűs szakaszokra tagoljuk. Ezen szakaszokat kódoljuk 
és L : n dimenziós oszlopvektorokat készítünk belőlük. Az említett műveletek elvégzése után a titkosítás képlete 


d 4 ja Fr yr [dé B. 17 ,r yr 
MI; mátrix szorzással adható meg. A művelet !:; oszlopvektorokat eredményez, amelyeket dekódolva egy 
titkosított szöveghez jutunk. 


Példaként lássuk a MINDIG szó titkosítását egy 4 x 4-es mátrix segítségével. 


Legyenek 


-(33).n-(-(3) 
5-(3)-(3). (2-7) 


Majd képezz 


ei gyi éa 50 a 41 


Az így kapott mátrixok elemeit(mod 25] véve a 


én T úri Ü air 16 
m-(D)o-() (8) 


mátrixokat kapjuk. Így a HBALRY titkosított szöveget nyertük. 


jó . gi ikai éji § ési 
az adott szabály szerint a £ 114 2: 3 vektorokat. 


A fejtés nyilvánvalóan könnyű az 47 mátrix ismeretében, hiszen ha figyelmesen választottunk, akkor a mátrix 
. , kor í —1rn? , § , ; , . .. [/ddd r éa 
invertálható és az M7"1:; mátrixszorzat (az eredményeket mod 25] véve) az eredeti szöveg betűinek kódjait 
adja. 
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Aki illegálisan akarja feltörni a rendszert annak két pár képének az ismerete szükséges. Ennek 
meghatározásához a betűpárok statisztikai eloszlását kell vizsgálnunk. A leggyakrabban előforduló betűpárok 
beazonosítása után van esélyünk a fejtésre. 


Tegyük fel, hogy ismerjük a / 1 illetve a !2 mátrixok képét. Ekkor az általunk választott A! mátrixot az 


57 50 13 1447 
101 86 9 4 


mátrixszorzás adja. Némi szerencse 1s kell, hogy ez elsőre sikerüljön, ugyanis nem nyilvánvaló, hogy az inverz 
mátrix létezik. Ekkor más párt kell keresnünk. 


Megjegyzés: Könnyű számolással adódik, hogy az említett inverz mátrix a következő 


2 
(a 


Megjegyezzük továbbá, hogy amennyiben az adott szöveg nem osztható r hosszúságú blokkokra, akkor az 
értelmet nem zavaró betűkkel kipótoljuk azt, vagy ez egyszer akarattal helyesírási hibát vétünk. 


bá [eotá JE 


A módszer 1gen jónak bizonyult megalkotásakor, mert a műveletek elvégzése igen munkaigényes, ugyanakkor a 
számítógépek megjelenésével, mind a titkosítás, mind a fejtés nyilvánvalóvá vált. 


59. Affin kriptorendszer 


Az affin kriptorendszer a következő, általunk ismertetett titkosítási rendszer. Tételezzük fel, hogy a és b olyan 
természetes számok, melyre 0Z a,b £ 24 és (a,25) — 1. Ekkor az előzőekben megismert, szokásosnak 
mondható, kódolás elvégzése után, minden az kódú számot az 80) (mod 25) kifejezés értékével 
helyettesítjük, majd dekódoljuk a kapott értéket és így egy titkosított szöveghez jutunk. 


Megjegyezzük, hogy az la,25) —1 feltétel ahhoz szükséges, hogy a végeredményhez szükséges 
aa tb (mod 25) hozzárendelés kölcsönösen egyértelmű legyen. Máskülönben előfordulhatna, hogy 
különböző betüknek azonos képe van. Ugyanis, ha a és €1 elemeket titkosítjuk, akkor az előállított képük 
aat b (mod 25) illetve 401 -Fb (mod 25) . Ezek akkor határoznak meg azonos betűket, ha 


ala — ai) Z0 (mod 25) kongruencia teljesül, az pedig a feltételeket figyelembe véve csak akkor történhet, 
ha a és €1 ugyanaz a szám. 


A rendszer fejtése statisztikai módszerrel történik. Két betű megfejtése után a rendszer összeomlik. 


6. Feladatok 


A 
A KRIPTO kulcsszó segítségével titkosítsa a következő szöveget Caesar módszer felhasználásával. , A kocka 
el van vetve." 

PA 
Affin kriptográfiai rendszert használjunk a következő szöveg titkosításánál, ahol a — G és hb — 2. , A bölcs 
kevésből ért." 

9; 


Titkosítsuk az , én magyar nemes vagyok" idézetet Hill módszerének segítségével, ahol 


m-(3 3). 


bi an 
Gad 
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Tervezzünk Polybios titkosítást geometriai alakzatok felhasználásával. 


A mellékelt statisztika készítő program felhasználásával fejtsük meg a szidd2.txt fájlban lévő titkosított 
szöveget. A titkosítás Ceasar módszerrel készült és az eredeti szöveg Hermann Hesse: Sziddharta című 
könyvéből való. A statisztika elkészítéséhez használjuk a stat.exe programot. (Segítségül közöljük, hogy a 
magyar nyelvben leggyakrabban előforduló magánhangzók az E, A, O, míg mássalhangzók esetében a T, S, 
N.) 
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3. fejezet - Pollalfabetikus rendszerek 


A Hill módszer pontosabb vizsgálatakor kiderül, hogy azonos betűpárok képe nem mindig ugyanaz. Ha például 
2 x 2-es mátrixokkal titkosítunk, más lesz a képe az AK betűcsoportnak aV AK ST illetve az AKAR 
szóban. 


Az ilyen titkosításokat tágabb értelemben vett monoalfabetikus helyettesítésnek nevezzük. Ez vezet át 


bennünket a fejezet címben említett polialfabetikus helyettesítésekhez, ahol 15 a szöveg titkosítása során az 
azonos szövegrészek helyettesítése más és más. 


1. Playfair módszer 


Az első ilyen módszer az úgynevezett Playfair titkosítás. A Playfair módszer egy szimmetrikus titkosítás, 
amelyet 1854-ben Charles Wheatstone fejlesztett kt. 


Charles Wheatstone 





Lord Playfair tudományban jártas politikusként támogatta a rendszer kifejlesztését, őt tisztelhetjük névadóként. 
Az említett redukálással élve az ABC 25 betűjét elhelyezzük egy 5 Xx 53-ös négyzetben. A szöveget úgy 
alakítjuk, hogy páros számú betű szerepeljen benne. Ezt páratlan számú betű esetén úgy érhetjük el, hogy 
valamilyen helyesírási hibát ejtünk vagy vagy valamely betüt megkettőzzük. 


Ezek után a szöveget kettes blokkokba tagoljuk úgy, hogy egy blokkba két azonos betű ne szerepeljen 
(alkalmazhatjuk az előző trükkök valamelyikét). Ha az így kapott betűpár nem helyezkedik el azonos sorban 
vagy oszlopban, akkor a betüket egy képzeletbeli téglalap két szemközti csúcsának tekintve a másik két 
csúcspontban elhelyezkedő betűk adják a titkosított képet. Ha egy sorban vagy oszlopban helyezkednek el, 
akkor megegyezés szerint le vagy fel, illetve balra vagy Jobbra toljuk a betűpárt és az így kapott betük adják a 
titkosított képet. 
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Az ábráinkról leolvashatók az említett titkosítási eljárások. Például az AE párnak a képe az FO betűpár, a HA 
pár titkosított megfelelője CX, az IN párnak CK. 


Az előző módszert alkalmazva a titkosítás nem változik, ha ciklikus oszlop vagy sor cserét hajtunk végre. Ítt 15 
alkalmazhatjuk a kulcsszavas ötletet. Válasszuk kulcsnak a KUNHARCOS szóösszetételt, majd soroljuk fel a 
kimaradt összes betűt, ügyelve az ismétlődés elkerülésére. 


A titkosítás fejtése bonyolultabb, mint az előzőek esetén. Betűpárok, hármasok, négyesek figyelése és 
statisztikai feldolgozása vezet célhoz. Az így kapott adatokat kell összehasonlítanunk az adott nyelv 
törvényszerűségetvel. 


Kulcsszavas esetben a kulcsszó hosszának megfejtése elvezet a titkosítási módszer feltöréséhez, hiszen a 
kulcsszó után ABC sorrendben vannak a betűk. 


A titkosítónak természetesen számtalan lehetősége van, hogy megnehezítse a fejtést. Minden levelet lehet 
különbözőképpen titkosítani vagy esetleg egy másik nyelvre lefordítani. 


Néhány esetet saját magunk 1s kipróbálhatunk a Playfair.exe program segítségével. 


2. Vigenére kriptorendszer 


Bár a módszer a Vigenére sifre nevet viseli, több alkotó 15 közreműködött a megalkotásában. Eredete egy XV. 
századi firenzei polihisztorig, Leon Battista Albertiig vezethető vissza. Az 1404-ben született tudós a reneszánsz 
egyik kiemelkedő alakja volt, sok kiváló műve mellett legjelentősebb alkotása a Trevi-kút. 


Alberti gondolkozott el először azon, hogy a monoalfabetikus titkosítást föl lehetne váltani egy több abc-t 
használó rendszerrel. Sajnos nem öntötte végleges formába felfedezését, így mások vitték diadalra az ötletet. Az 
első az 1462-ben született Johannes Trithemius német apát volt, őt az 1535-ös születésű Giambattista della Porta 
olasz tudós követte, majd egy 1523-ban született francia diplomata, Blaise de Vigenére zárta a sort. 


Blaise de Vigenére 





Vigenére huszonhat éves korában, egy kétéves római kiküldetés alkalmával ismerte meg Alberti, Trithemius és 
Porta műveit. Erdeklődése eleinte kizárólag gyakorlati szempontok miatt, diplomáciai feladataival 
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kapcsolatosan fordult a kriptográfia felé. Később, pályája elhagyása után kovácsolta elgondolásaikat egy új, 


egységes és erős kódrendszerré. 


Blaise de Vigenére (1523-1596) Vigenére munkássága a Traicté des Chiffres (Értekezés a titkosírásról) című, 


1586-ban megjelent dolgozatában csúcsosodott ki, 
(feltörhetetlen kódként) idézték, sokáig mégis feledésbe merült. 


és bár a módszer ,le chiffre indéchiffrableként" 


A következőkben részletezzük a módszert. A részletes leírásához szükségünk lesz a következő ábrára: 


ATBTETPTETFIGTHTI TI TKTETMINTOTPTOTRTSTTJUTVIWIXTYTZ 
IB[cÍDJEJF[e[HÍT [TÍKILÍMÍN Jojpjalk] s Írfujv]iwix [YIz[A] 
KIEJEJEA GILL ETES ÉT DTS ESETI E IV NIX YIZTA[ B] 
IDÍEJF[G[HÍT] VIXÍY 
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ej 
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JEE 
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Titkosítsuk a , Nem mind arany ami fénylik" közmondást. Válasszunk az ismert feltételek szerint egy kulcsszót, 


jelen esetben legyen ez a MARS szó. Írjuk periódikusan a kulcsszót a titkosítandó szöveg fölé! 


MESEI ETETESLETESESL ENE ETE 


D]IAIRJAIN[Y[JAIMI 





Ezek után az N-edik sor M/-edik eleme lesz / helyettese, azaz 7. Az KF-edik sor A-adik eleme lesz E 


helyettese, azaz E. Ugyanilyen lépésekkel jutunk el a titkosított szöveghez. 
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Hasonló négyzet készíthető, mint a fenti, annyi különbséggel, hogy a betűk sorrendje fordított. Ezt a 
megalkotója, Sir Francis Beaufort admirális, után Beaufort négyzetnek nevezzük. Az admirálisról egy 
szélsebesség mérték 1s kapott nevet. 


A Vigenére rendszer egy tipikus példája annak a kriptográfiai módszernek, amikor egy kulcsszót ismétlünk 
periódikusan és ennek felhasználásával történik a titkosítás. Polialfabetikus rendszer volta miatt nyilvánvalóan 
nem használható az eddig jól bevált statisztikai módszer. Ha ismerjük azonban a kulcsszó hosszát akkor a 
rendszert egy monoalfabetikus rendszerre redukálhatjuk. 


Tételezzük fel, hogy tudjuk a kulcsszó hosszát, jelen esetben ez négy. A titkosított szöveget helyezzük el négy 
oszlopban a következő módon: 





A számok a betűk pozícióját jelölik a titkosított szövegben. Ugyanabban az oszlopban ugyanaz a betű azonos 
betűt reprezentál az eredeti szövegből. Ez azt jelenti, hogy ha lenne egy Jó módszerünk a kulcsszó hosszának 
megsejtésére, akkor az előző elrendezés megvalósítása után alkalmazhatnánk a jól bevált statisztikai módszert. 


Friedrich Kasiski német titkosító az 1860-as években kifejlesztett egy módszert, melynek segítségével 
megtalálhatjuk a kulcsszó hosszát. A róla elnevezett Kasiski módszert 1863-ban publikálta és lényege abban áll, 
hogy titkosított szövegben azonos betűcsoportok többszöri előfordulását vizsgáljuk. Megfigyeljük, hogy ezek az 
ismétlődések milyen távol vannak, azaz hány betű távolságban követik egymást. 


Tegyük fel például, hogy a RUNS betűcsoport ismétlődésére talált rá egy számítógépes program. Egy ilyen 
betüűcsoport előfordulása lehet véletlen, de minél hosszabb betűcsoport ismétlődését tudjuk megfigyelni, annál 
valószínűbb, hogy ugyanolyan szövegrészt titkosított a küldő. Ha az említett szövegrész előfordulása olyan, 


hogy: 
. . . RUNS 28 betű RUNS 44 betű RUNS 68 betű RUNS . . . 


Ekkor feltételezhetjük, hogy a kulcsszó hossza megegyezik ezen számok legnagyobb közös osztójával, ami jelen 
esetben 4. 


Ha több betűcsoport ismétlődését figyeljük meg, akkor mód nyílik feltevéseink ellenőrzésére. Szerencsés 
esetben ezek egyértelműsítik a kulcsszó hosszát. Ellenkező esetben csak az oszlopos felosztás és a statisztikai 


módszerek végrehajtása után derül ki, hogy melyik változat az igazt. 


Itt is az igaz, mint az előzőekben, a módszer meglehetősen időigényes, ha nem használunk számítógépet, 
esetünkben nyilvánvalóan gyorsan célhoz érünk. 


Megjegyezzük, hogy Kasziskitól függetlenül Charles Babbage 1s kiötlötte ezt a módszert még 1846-ban. 
Charles Babbage 
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3. Autoclave rendszer 


A Vigenére módszer egy titkosított változata az Autoclave rendszer, melyet a híres matematikus Gerolamo 
Cardano (1501-1576) talált kt. 


Gerolamo Cardano 





? HT 4 
58.12 £ 7 
Ebben a rendszerben a forrás szöveget használjuk titkosítási kulcsként egy bizonyos eltolás közbeiktatásával. 
Legyen az eltolás mértéke 4 betű és titkosítsuk a jól Ismert közmondást, , Aki mer az nyer". Ekkor így néz ki a 


titkosítás: 
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Forrás szöveg: AKIMERAZNYER 
Kulcs: VYERAKIMERAZ 


A kulcsot úgy használjuk, mint a Vigenere rendszerben. A kimaradt részt kitölthetjük a forrásszöveg végével, 
mint ahogy előbb láttuk vagy kitalálhatunk egy éppen ideillő kulcsszót. Jelen esetben megfelelő választás a 
SOMA név. Így meghatározhatjuk a titkosított szöveget. 


Forrás szöveg: AKIMERAZNYER 
Kulcs: SOMAAKIMERAZ 
Titkos szöveg: SYUMEBIMRPEG 


A legális fejtőnek nyilvánvalóan könnyű dolga van, hiszen a kulcsszó ismeretében megkapja az eredeti szöveg 
néhány első betűjét, amelyek a további titkosítási kulcsot jelentik. 


Lehetséges egy másik variáció használata 15. Ekkor 15 egy titkosítási kulcsszót választunk, de a másik 
módszertől eltérően nem a forrásszöveg, hanem a titkosított szöveg betűi adják az alkalmazott kulcsot. 


Forrás szöveg: AKIMERAZNYER 
Kulcs: 50.MAÁASYUMOV RZ 
Titkos szöveg: SYUMWPULDIVO 


Az illegális fejtőnek a fő célja a kulcsszó hosszának a meghatározása. Az előzőekben részletesen kifejtett 
Kasiski módszer Itt 15 lehetőséget ad a kulcsszó hosszának a meghatározására. Megfigyelhetjük azonban, hogy 
ebben az esetben a módszer nem olyan erős, mint az előző esetben, hiszen csak elegendően hosszú szövegben 
fordulhat elő nagy valószínűséggel, hogy ugyanolyan betűcsoport titkosít ugyanolyan betűcsoportot. 


Az eredeti módszerben szükséges a kulcsszó kitalálása 15. Gyakoriság táblázat segítségével választunk egy 
tetszőleges kezdő betüt (25 választás lehetséges). Ez a betű a titkosított szöveg első betűjével együtt 
meghatározza a forrásszöveg első betűjét. Mivel a forrásszöveg betűit használtuk a titkosításhoz, sikerül 
meghatároznunk a titkosítási kulcs egy újabb betűjét. Eredeti példánkban, ahol a kulcsszó négy betűből állt, 
megtalálhatjuk a titkosítási kulcs ötödik betűjét. Az eljárást folytatva meghatározhatjuk g, 13, 17, . . : pozícióban 
lévő forrásszöveg betűit. Ha ezen betűk gyakorisága ellentmond a statisztikai eredményeknek, akkor új betűvel 
próbálkozunk. Hasonlóan határozzuk meg a többi, kulcsszóban szereplő betűt. 


Az első fejezetben áttekintettünk néhány régi titkosítási rendszert. Megfigyelhettük, hogy legfőbb segítségünk a 
betűk statisztikai eloszlásának ismerete. Ebből következik, hogy a titkosítás fejtőjének egyik fő feladata, hogy 
rendelkezzen pontos információval, hogy milyen nyelv szavait titkosították. 


Nyilvánvalóan mindenféle lehetőséget kitalálnak a küldők, hogy megnehezítsék az illegális fejtők dolgát. Az 
egyik legnépszerűbb trükk, hogy egy jól ismert nyelven meglévő információt egy ritka, statisztikailag nem 
feltérképezett nyelvre fordítják le és úgy titkosítják. Itt érvényes főleg a kriptográfia fő mottója, mely szerint: 
, Soha ne becsüljük le a titkosítót". 


Ezen megjegyzésekkel azonban már egy a titkosításon túli területre tévedünk, amit politikának, hírszerzésnek, 
ármánykodásnak nevezünk, így Itt a mi kíváncsiságunk félbeszakad. 


4. Feladatok 


A fentiekben ismertetett Playfair módszer segítségével titkosítsa a , valoszinusegszamitas" szót. 


Vigenére módszer segítségével titkosítsa Petőfi Sándor , A magyar nemes" című versének egy sorát. , Tán a 
tudománynak éljek?". Kulcsszónak válasszuk a , vers" szót. 
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Az Autoclave módszer felhasználásával titkosítsuk, a fejezetben említett kitalálójának, Gerolamo Cardano- 
nak a nevét, kulcsszónak használjuk a , matek" szót. 


Végezzük el az előző titkosítást úgy, hogy a kulcsszó használata után a titkosított szöveg legyen a titkosító 
kulcs. 


Fejtsük meg a következő Playfair módszerrel titkosított szöveget, ahol a kulcsszó a , kezdo" szó volt. Szöveg: 
, pcckxilrkindvnjlmyircbszzrgelgobvbvidfu" 
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4. fejezet - Matematikai alapok 
1. Oszthatóság 


A következőkben a továbbiak megértéséhez elengedhetetlenül szükséges matematikai alapokat tárgyaljuk. Jelen 
fejezetben nem térünk ki az elliptikus görbék elméletére, amely a későbbiekben kerül tárgyalásra. 


4.1. Definíció. Azt mondjuk, hogy a b természetes szám osztható az a természetes számmal, 
ha van olyan x természetes szám, melyre hb — ax. 


A fentiekre az 0 ] b jelölést fogjuk használni, ha a nem osztható 5-vel, akkor az § 1b jelölést használjuk. 
A következőkben néhány fontos oszthatósági tulajdonságot sorolunk fel. 
4.2. Tétel. Minden €: b, € természetes szám esetén 


1. 


a ] b-ből következik 2 ] be minden egész c esetén, 


2 
a ] 5 és b ] €-ből következik € ] €, 
RA 
al bésal €.ből következik, hogy 
a [ (br -b ey) 
minden egész £. y esetén, 
4. 


ha m € N, akkor 8 I b es ma ] mb ekvivalensek. 


4.3. Tétel (A maradékos osztás tétele). Teszőleges a — Ü és b egész számokhoz létezik 
olyan, egyértelműen meghatározott § és r egész szám, amelyekre 


b—-agtr, Üdgr da. 


4.4. Tétel. Ha a és b egész számok közül legalább az egyik nem 0, akkor közös osztóik 
legnagyobbikát a és b legnagyobb közös osztójának nevezzük és la, b).vel jelöljük. 


4.5. Tétel. Ha a b éés c számok legnagyobb közös osztója d, akkor létezik olyan fo és 4o 
egész úgy, hogy 


g — (be) — brag t ceyo. 


4.6. Tétel. Az a és b számok § legnagyobb közös osztója jellemezhető a következő két 
módon: 


1. 


a a 1 0y alak legkisebb pozitív értéke, ahol mr és Y végigfut az egész számokon; 


a és b közös osztója, amely a és b minden közös osztójával osztható. 
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4.7. Tétel. Minden pozitív rn számra 
(ma, mb) — mia, b). 


4.8. Tétel. Hadlaéesd I bésd — 0, akkor 


a bi ll. p 
da) am 


Ha (a, b) — d akkor 


4.9. Definíció. Azt mondjuk, hogy a és b relatív prímek, ha (a,b) —1 
4.10. Tétel. Minden T esetén 
la,bh— (a,b-k az). 


Az egyszerű tulajdonságok bemutatása után a legnagyobb közös osztó meghatározására szolgáló tételt 
ismertetünk. Nevét az ókori görög matematikusról Euklidészről kapta. 


Euklidész 





Euklidész híres tankönyvéről az Elemekről, sokan állítják, hogy a Biblia után a legtöbbször megjelentetett mű. 
A róla elnevezett algoritmusról a történészek úgy vélik, hogy elmúlt korok munkáiból származik, nem saját 
eredmény. 


4.11. Tétel (Euklideszi algoritmus). Adott és c - Ü egészekre ismételten alkalmazzuk a 
maradékos osztás tételét, s ezzel az egyenletek következő sorozatát kapjuk: 


b—-entri, Üdri Te, 
c—rigatra, Üdra Tri, 


ri —rogatra, Üdra ra, 


Tj—2 —Tj-igjtTj, Ü€Tj ZTj-1; 
Vasi sé gágpli 


A b és c számok IB. €) legnagyobb közös osztója Ti, az osztási eljárás utolsó nemnulla 
maradéka. 


2. Prímek 
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A prímek, mint az atomok az anyag világában, nagyon fontos szerepet játszanak a számelméletben és a 
kriptográfiában Is. 


4.12. Definíció. A 3 l egész számot prímszámnak nevezzük, ha P-nek nincs olyan d 
osztója, melyre l 7 d - P. Ha az a egész nem prím, akkor összetett számnak nevezzük. 


4.13. Tétel (A számelmélet alaptétele, Gauss 1801). Bármely n —- l egész szám felbontása 
prímek szorzatára egyértelmű, eltekintve az egységfaktortól és a prímek sorrendjétől. 


A tételt Carl Friedrich Gaussnak (1777-1855) köszönhetjük, akit gyakran a , matematika fejedelmének" is 
szoktak nevezni. Gauss a matematika több ágában 15 maradandót alkotott. 


Carl Friedrich Gauss 





Már kicsiny gyermekkorában nyilvánvaló volt kimagasló tehetsége, több anekdota keringett az ifjú Gaussról. A 
24 éves korában megírt Disguisitiones Arithmeticae című munkája a számelmélet egyik legalapvetőbb műve, 
amelyből a fenti tétel 15 származik. 


Megjegyzések a faktorizációról 
A következőkben igazoljuk, hogy egy tetszőleges ri összetett szám legkisebb faktora kisebb, mint vn Legyen 
n-fa és főé a. 
Ebben az esetben 

KE; §i ng . 
d —-——-—-z .  — G an 

f " Tf 

f c vn. 

Az előző eredmény érdekes gondolatkísérletre ad lehetőséget, ami a prímek rejtélyes tulajdonságaira és a 
kriptográfiában való alkalmazhatóságukra utal. 100 jegyű szám esetén 
n: 10" a y/n s 107" 


Az egyszerűség kedvéért tegyük fel, hogy 10"" lépést végez a számítógép másodpercenként. Ez elég jó 
közelítése a valóságos helyzetnek. Ekkor 10" másodperc, kb. 107! év szükséges, hogy aprólékos kereséssel 
megtaláljuk a legkisebb prímfaktort. Ahhoz, hogy elég jó összehasonlításunk legyen az időtényező 
szemléléséhez, tudnunk kell, hogy az univerzum életkora kb. 2 - 10 év. 


Mivel a prímek száma, előfordulásuk és eloszlásuk fontos kérdés, ha kriptográfiai alkalmazhatóságukat 
vizsgáljuk, a számelméleti eredményekhez fordulhatunk bizalommal. 


4.14. Tétel (Euklidész). A prímszámok száma végtelen. 


4.15. Tétel. A prímek sorozatában tetszőleges nagy hézeg van, másszóval tetszőleges k egész 
számhoz létezik k egymás után következő összetett szám. 
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Georg Friedrich Bernhard Riemann (1826-1866) nagyon fiatalon elhunyt kiváló matematikus volt. 


Georg Friedrich Bernhard Riemann 





Lenyűgöző alkotást hagyott az utókorra analízis, differenciálgeometria és az analitikus számelmélet terén. Az 
általa megfogalmazott sejtés (Riemann sejtés) a hét Millenniumi Probléma egyike, amelyek megoldására 2000- 
ben magas pénzjutalommal járó díjat alapított az amerikai Clay Matematikai Intézet. A következő definíciót ő 
alkotta a prímszámok viselkedését vizsgáló munkájában. 


4.16. Definíció. Jelölje TIT! minden valós r-re az r-nél nem nagyobb prímszámok számát. 


Pafnutyij Lvovics Csebisev (1821-1894) orosz matematikusnak sikerült igazolnia, hogy minden természetes 
szám és kétszerese között van prím. Számelméleti munkásságából származik a következő tétel. 


Pafnutyij Lvovics Csebisev 


1v 





4.17. Tétel (Csebisev). Létezik olyan a és b pozitív állandó, hogy 


a NT 2 
z nrír] xb 








ül 


log xT log T 
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A 19. század egyik leghíresebb problémája a prímszámtétel volt, amelyet egymástól függetlenül Jacgues 
Hadamard és de la Vallée Poussin igazolt 1896-ban. 


Jacgues Hadamard 


de la Vallée Poussin 





4.15. Tétel (Prímszámtétel, 1896). 


ta r(írjlogr 


T—ro0 T 


— 1. 


A következőkben néhány érdekes prímtulajdonságra térünk ki, illetve bemutatunk néhány klasszikus problémát. 


4.19. Tétel. Minden F prímszám előállítható négy négyzetszám összegeként. 


4.20. Tétel. Adott egy f (Tr) egész együtthatós polinom, végtelen sok pozitív rn létezik, 
amelyre f (m) összetett. 


Mint ahogy később látni fogjuk, a prímek megtalálása, főleg nagy prímek esetén, nem egyszerű dolog. Mindig 


nagy álma volt a matematikusoknak, hogy olyan kifejezést találjanak, amely bizonyos paraméterek esetén 
prímeket állít elő. Ezek közül a próbálkozások közül két, történetileg jelentőset említünk meg a következőkben. 


4.21. Definíció. Az M (n) — 27 — lalakú számokat, ahol n nem negatív egész Mersenne- 
számoknak nevezzük. 


Marin Mersenne (1588-1648) francia szerzetes, matematikus és fizikus volt. 
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Marin Mersenne 





Az érdekesség kedvéért érdemes megemlíteni, hogy ugyanabba a Jezsuita iskolába járt, ahová később René 
Descartes. A róla elnevezett Mersenne számok közül azokat a prímeket nevezzük Mersenne-prímeknek, ahol a 
kitevőben szereplő n prím. 


A Mersenne számok felszínre kerüléséhez érdemes egy kis kitérőt tennünk a tökéletes számok birodalmába. 
Tökéletes számnak nevezzük azt a természetes számot, amely egyenlő a tőle kisebb oszóinak az összegével. 
Például a 6 tökéletes szám, hiszen ő — l -- 2 3. 


ar1—1 a 
Euklidész észrevette, hogy az első négy tökéletes szám 297 (27 — 1) alakú, ahol 2" — 1 prím. Ezekben az 


esetekben 71 — 2,3,9,í. A sejtést, miszerint Euklidész képlete az összes tökéletes számot leírja, több mint 
másfél ezer évvel utána, Leonhard Euler bizonyította be. 


Leonhard Euler 
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Mersénát 5(Cógltátal /PHysidd-Miathbihatitai (1644) munkájában azt a hibás állítást mondta--kü5 hogy az 
esetében mindig prímeket kapunk, még a többi esetben 
összetett számokat. 


A későbbiek során Leonhard Euler (1707-1783) svájci matematikus és fizikus igazolta, hogy az n — 31 eset 
tényleg prímet szolgáltat. Az így kapott prím volt több, mint száz évig a legnagyobb ismert prím. Később 
kiderült, hogy az előző lista helyesen 7"! — 4,3,5,7,13, 17, 19,31,61, 839, 107, 121. 

Eddig összesen 47 Mersenne-prímet találtak. A legutóbbit 2009. áprilisában, ahol is n — 42643501 . 
Érdekesség, hogy ez a szám 12837064 számjegyből áll. További Mersenne-prímek keresése világméretű 
összefogással folyik, nagy számú számítógép felhasználásával. (További részletek tekinthetők meg a 


http://www.mersenne.org/ honlapon.) 


További érdekességgel szolgálnak a Fermat-számok. 


4.22. Definíció. Az PF (n) — 27 3 1 alakú prímeket, ahol n nem negatív egész Fermat- 
prímeknek nevezzük. 


Pierre de Fermat (1601-1665) francia jogász volt, aki szívesen és eredményesen foglalkozott szabad idejében 
matematikával 15. 


Pierre de Fermat 





Az említett probléma érdekes ugyan, mégsem ez tette nevezetessé Fermat, hanem a következő sorok. 
, Lehetetlen egy köbszámot felírni két köbszám összegeként, vagy egy negyedik hatványt felírni két negyedik 
hatvány összegeként, általában lehetetlen bármely magasabb hatványt felírni két ugyanolyan hatvány 
összegeként igazán csodálatos bizonyítást találtam erre a tételre. A margó azonban túlságosan keskeny, 
semhogy ideírhatnám." A Fermat által megfogalmazott állítás margónyi bizonyítását azóta sem találják a 
matematikusok. Andrew Wiles, princetoni professzor, 1995-ben igazolta a sejtés igazságát több, mint 100 
oldalon. 


Fermat nem fektetett nagy hangsúlyt a bizonyításokra, így az a sejtése, hogy a 22" 3 1 alakú számok mindig 
prímek, 1s csak sejtés maradt. Euler 1732-ben igazolta, hogy 641 osztja F (5 öt. 


Jelen témánkkal kapcsolatban 15 rengeteg megoldatlan probléma van a számelméletben. Nem tudjuk, hogy 
létezik-e végtelen sok Mersenne prím, Fermat prím vagy létezik-e páratlan tökéletes szám. 


3. Kongruenciák 
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A kongruenciák elméletét, a mai formában, Carl Friedrich Gauss dolgozta ki Disguisitiones Arithmeticae című 
művében. 


4.23. Definíció. Legyenek a és b egész számok. Ha az mi nemnulla egész osztja az a — bh 
különbséget, akkor azt mondjuk, hogy az a szám kongruens 5-vel modulo rri. A továbbiakban 


a z b (mod ml! módon jelöljük. 


4.24. Tétel. —. Legyenek §: b.c,d,T és 4 egész számok. Ha 4565 (mod m) és 
bI- c (mod mi akkor sc (mod m) Haa —b (mod megse d (mod ml akkor 
ar -tcy — br dy (modm) Ha a-b (mod m) g; csdímodm]) akkor 


ac - bd (mod m) 


4.25. Tétel. — Legyen f egész együtthatós polinom. Ha €— b (mod m) , akkor 
fla) — — f(b) (mod m] 


TIT J 


Tr 7 y (mod set. 


4.26. Tétel. 8£ — €4 (mod Ti ) akkor és csak akkor, ha 8 
4.27. Tétel. Ha aT — ay (mod m) es(a,m) — lakkor T — y (mod m) 


4.28. Definíció. Ha T—Yy (mod m] akkor V-t az x szám mn szerinti maradékának 
nevezzük. Az £1; - - : : Em számok halinazát teljes maradékrendszernek nevezzük modulo mn, 


ha tetszőleges V egész számhoz létezik egy és csak egy Ti, amelyre V — £j ([moc lm ). 


4.29. Definíció. . Az TF; egész számok halmazát redukált maradékrendszernek nevezzük 
modulo mm, halra. Mm) — l.Tr: ÉT; (mod m) valahányszor ! 7 J, és tetszőleges, rr.-hez 
relatív prím T egész Szágíhás található olyan, halmazbeli 7;, hogy 2 TET; (mod m) 


Jelölés. Minden redukált maradékrendszerimod m) ugyanannyi elemet tartalmaz. Ezt a közös elemszámot 


ólmel jelöljük és Euler-féle $ függvénynek nevezzük. 


4.30. Tétel. A lm] szám az m-nél nem nagyobb, rn-hez relatív prím pozitív egészek 
száma. 


4.31. Tétel (Euler). Hala. m) — 1 akkor 
atm) — 1 (mod mm). 


4.32. Tétel (Fermat). Legyen F prímszám és tegyük fel, hogy (a, p) — . ekkor 


aP-" 1 (mod p). 

4.33. Tétel. Legyen § — la,m) Ha9gt b akkor az 17-84 (mod m) kongruenciának 
nincs megoldása; ha viszont § b akkor a kongruenciának § megoldása van és a megoldások: 
az 


TI —gTodt adds (mod m),t—0Ol,...g—1 
g 


b 
d 
értékek, ahol fn az 
a 


—r s 1 (mod sálek, 
g g 


kongruencia tetszőleges megoldása. 


— TE 


4.34. Példa. Oldjuk meg a 197 — 25 (mod 35] lineáris kongruenciát. 
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b 
[elen 


A megoldáshoz a 4.33 tétel eredményét használjuk. Mivel (15.35) —5 és" 
kongruencia megoldható. Könnyen látható, hogy 


ar 1] (mod 7) jJ- Togo — 3. 


Megoldás: T — 25 4 7t (mod 351est —0,1,2,3, 4. 


A következő, több kongruenciából álló szimultán kongruenciarendszerekről szóló állítást, már több mint 2000 


évvel ezelőtt Ismerte egy kínai matematikus, Szun Cu, innen kapta a tétel mai nevét. 


4.35. Tétel (Kínai maradéktétel). Ha az "ti: 12; . . - , "tr pozitív egészek páronként relatív 
prímek, és a továbbiakban 81: 42; :. - . ; ir tetszőleges egész számok, akkor az 
Tz a; (mod m;)i— 1,2,...r 


kongruenciáknak van közös megoldása. Bármely két megoldás kongruens modulo 
IT TTta " ""TTp. 


Módszer. Legyen IT — fia " " "Ip és 
Tri MA , 

— b; 1 Ímaod m;)]. 

J , 4 , 

TTL j 


Ekkor 


4.36. Példa. Válasszunk egy 60-nál kisebb számot, osszuk el 3,4,5 számokkal és közöljük a 
maradékot. 


A gondolt szám ,,kitalálására" a következő módszert javasolja a kínai könyv, a 
4Üa -- 455 1- 38c szám 60-nal való osztási maradéka, feltéve ha a maradékok rendre €: be 


Például, ha a választott szám 29, akkor 40 : 2445: 1436 :4 — 263, amely 60-nal való 
osztás után tényleg adja a végeredményt. 


A 4.35 tétel alapján a megoldás a következő 


20561 1 (mod 3) 
15ba 1 (mod 4) 
1255 1 (mod 5] 


Ekkor b1 — 2, ba — 3,b3 — 3 és 


To—40-2-21315-3-1§4124-3-4 (mod 60) — 29. 


4. Véges testek 


A véges testek elméletének kidolgozása Evariste Galois (1811-1832) munkásságával kezdődött. Az utóbbi 
években erőteljes alkalmazása révén (például az algebrai kódok elmélete, kriptográfia) különösen nagy 


jelentőségre tett szert. 
A következőkben egy nagyon egyszerű bevezetését adjuk a véges testek elméletének. 


4.37. Definíció. Csoportnak nevezünk egy olyan nem üres (r halmazt, amelyen definiálva 
van egy x kétváltozós művelet, és teljesülnek a következő feltételek: 


1. 
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A x művelet asszociatív, 


A (Gr halmaz rendelkezik úgynevezett neutrális elemmel, azaz van olyan e eleme, hogy a Cr 
halmaz bármely a elemére € $ a — a s e — a teljesül, 


A CG halmaz bármely a eleméhez hozzárendelhető egy olyan 4 €r-beli elem, hogy 
a xb — b: a — e. A b elemet az a elem inverzének nevezzük, és a" 1-gyel jelöljük. 


4.38. Definíció. . Ha a csoportművelet kommutatív, azaz G minden €.b elempárjára 
a xb — basa teljesül, akkor a csoportot kommutatív csoportnak vagy Abel-csoportnak 
nevezzük. 


4.39. Definíció. Egy G multiplikatív csoportot ciklikusnak nevezünk, ha van olyan a £€ (Gr 
eleme, hogy minden 4 £ Cr esetén van olyan J egész, melyre b — a7. Az ilyen a elemeket a 
ciklikus csoport generátorának nevezzük. 


4.40. Definíció. — Legyenek -- és . kétváltozós műveletek az Et halmazon, amelyeket 
összeadásnak, illetve szorzásnak nevezünk. Az ft halmaz gyűrű, ha a következő feltételek 
teljesülnek: 


1. 


KI; 4] Abel-csoport, 


a szorzás az összeadásra nézve disztributív, azaz latbj-c—a-:etb-e gs 
c:latbj— ce: at c:b tetszőleges a, b, c E R esetén, 


R tetszőleges 8: b és c elemeire teljesül, hogy la:bh-c—a-(b:- C], azaz a szorzás 
asszociatív művelet. 


4.41. Definíció. Az FR gyűrüt egységelemes gyűrünek nevezzük, ha tartalmaz olyan 1-gyel 
jelölt elemet, hogy a : 1 — 1 - a — a tetszőleges a € KR esetén. 


4.42. Definíció. Az KH gyűrűt kommutatív gyűrűnek nevezzük, ha tetszőleges a és b elemeire 
teljesül, hogy a : b — b : a, azaz a szorzás kommutatív művelet. 


4.43. Definíció. Az F( gyűrű nullától különböző a elemét bal nullosztónak nevezzük, ha 
létezik olyan nullától különböző 45 elem, hogy a4 — Ü. Hasonlóan definiáljuk a jobb nullosztó 
fogalmát. Ha az Ft gyűrű nem tartalmaz sem bal sem jobb nullosztót, akkor 
nullosztómentesnek nevezzük. 


4.44. Definíció. A  — kommutatív, . egységelemes — és — nullosztómentes gyűrűt 
integritástartománynak nevezzük. 


4.45. Definíció. Egy egységelemes gyűrűt ferdetestnek nevezünk, ha bármely nullától 
különböző elemének van multiplikatív inverze. Egy kommutatív ferdetestet testnek nevezünk. 


Egy tetszoleges K test feletti egyváltozós polinomok halmaza, amit Klrlel jelölünk, integritástartomány. A 
maradékosztályok £n halmaza is gyűrű. Könnyen igazolható, hogy minden F" test nullosztómentes. 


4.46. Tétel. Minden /F" véges integritási tartomány test. 
4.47. Tétel. £n akkor és csak akkor test, ha n prím. 
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Példáulyz, Za és 45 véges testek: fügéég nem az, mivel a jrmgaradékosztálynak nincs multiplikatív inverze 49- 
ben. A  — -elemű véges testeket -el jelöljük, ahol a a , Galois field" angol kifejezés rövidítése. 


4.48. Tétel. Minden ? prímszám és minden nr természetes szám esetén létezik d — P" elemű 
test. 


4.49. Definíció. Az ! test karakterisztikája az a legkisebb rn természetes szám, melyre 


TIT 


ma—-— $ a—atadt:::ha—0, 


1—1 


minden a £ F elemre (az összegzés a testbeli összeadás). Ha nem létezik ilyen mr szám, 
akkor azt mondjuk, hogy a test karakterisztikája 0. 


Megjegyezzük, hogy. (Zs, Ta ) gyűrű karakterisztikája 3, a (Z4 Ta z. karakterisztikája 4, a (Zn Ta 9) 
karakterisztikája rt. A it, Jés al, 4, 7) gyűrűk karakterisztikája pedig 0. 


Könnyen belátható, hogy ha F egy P karakterisztikájú test, akkor F-ben van egy P-elemű GF(p) résztest, 
amelynek elemei 


TIT 


1,1-4-1,..., d a —0. 


1—1 


Ezek az elemek mind különbözőek, a szorzásra és az összeadásra nézve zárt halmazt alkotnak, valamint a 
nullától különböző elemeknek létezik additív és multiplikatív inverzük. Ez a P-elemű résztest izomorf Zp.vel, 


így mondhatjuk, hogy minden véges, ? karakterisztikájú test Zp A GFiPItap karakterisztikájú F" véges test 
prímtestének nevezzük. 


A továbbiakban F" jelöli az F" test nullától különböző elemeinek halmazát. 


4.50. Definíció. Az F "egy a elemét primitívnek nevezzük, ha az F test minden nem nulla 
eleme egyértelműen felírható az valamely pozitív kitevős hatványaként. 


4.51. Tétel. Ha az F test egy 4-elemű véges test, akkor a test minden a elemére teljesül 
a — a tehát az F minden eleme gyöke az J (zt) —z1—r polinomnak. 


A véges testek egyszerű struktúráját a következő tétel mutatja. 


4.52. Tétel. A (GF g) nullától különböző elemei a szorzásra nézve ciklikus csoportot 
alkotnak. 


4.53. Tétel. Minden F — GF(g) testben létezik primitív elem. 


4.54. Tétel. Minden véges test tekinthető egy Zp feletti vektortérnek, s ha ez a vektortér 
T 3 s, . Ld TE , 
n E N dimenziós, akkor a test elemeinek száma P , ahol P prím. 


4.55. Definíció. Az F" véges test elemeinek számát a test rendjének nevezzük. 


5. Feladatok 


Oldjuk meg az 257 — 15 (mod 291 ésa5r — 2 (mod 26] kongruenciákat. 


Ha egy kosár tojást 2, 3, 4, 5 vagy 6-osával ürítünk ki, rendre I, 2, 3, 4, 5 tojás marad benne. Ha azonban 7- 
esével vesszük ki a tojásokat, akkor egy sem marad benne. Adja meg a kosárban lévő tojások minimális 
számát. (Brahmagupta 1.sz. VII.sz.) 
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Matematikai alapok 


Milyen maradékot ad 444455, ha elosztjuk 9-cel 


Kongruenciák segítségével oldja meg a következő diophantoszi egyenleteket 4r-t51y— 3, illetve 
aT — Jay — Lí 


Számítsuk ki 12543 és 29447 legnagyobb közös osztóját. 


Van egy 12 és egy 51 literes hordónk. Tele lehet-e tölteni ezek segítségével egy 5211 literes tartályt úgy, 
hogy a hordókat akárhányszor teletöltve, azok teljes tartalmát beönthetjük a tartályba, és onnan a víz nem 
csordul ki? 


ji e. édi Ki r . 2 
Mutassuk meg, hogy tetszőleges £ ; Ü egészekre lat, b) — la, bj" 


Az euklideszi algoritmussal számítsuk ki a — 255 és b — 111] legnagyobb közös osztóját, valamint a 
g — ar - by lineáris kombinációs előállításhoz az r és V együtthatókat. 


Teljes maradékrendszer-e 1, 22,37,02,... 11652, 11647 (mod TTT) 
10. 

Redukált maradékrendszer-e 5. 15, 25, 35,45,55,...,155 (mod 32) 
11. 


A kínai maradéktétel segítségével oldjuk meg a következő lineáris kongruenciarendszert 
5rs1 (mod 7) 

4r-1 (mod 9] 

ör 1 (mod 13] 
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9. fejezet - DES 


Egészen a 2000-es évekig a kriptográfiában leginkább használatos algoritmus a DES (Data Encryption 
Standard) volt. 


Az IBM az 1960-as évek végén indított el egy kutatási projektet egy szimmetrikus, titkos kulcsos titkosítási 
rendszer fejlesztésére. Horst Feistal vezetésével 1971-re kifejlesztették az akkor LUCIFER-nek nevezett 
algoritmust, amely 128 bites blokkokra osztotta a nyílt szöveget és 128 bites kulcsot alkalmazott a titkosításhoz. 


Horst Feistal 





A LUCIFER-t eladták a londoni LIloyd"s biztosítónak, amely egy szintén az IBM által fejlesztett készpénz- 
elosztó rendszerben alkalmazta. Carl Meyer és Walter Tuchman egyetlen chipen akarta implementálni a 
LUCIFER algoritmust végrehajtó célhardvert, amelyhez némi változtatást 15 végrehajtott az algoritmusban. 


A 70-es évek közepe táján hirdetett pályázatot az NSA (National Security Agency) egy olyan titkosítási 
eljárásra, amely szabványosítható. Erre a pályázatra nyújtotta be az IBM Carl Meyer és Walter Tuchman az 
általuk kitalált eljárást, amely messze a legjobb volt az összes benyújtott pályázat között, amit aztán 1977-ben 
DES néven szabványosítottak Is. 


A módszer kiválóan illeszkedett a rohamosan fejlődő elektronikus adatfeldolgozás lehetőségeihez. Magas szintű 
biztonságot nyújtott, amelyet egyszerű felépítéssel valósított meg. A hardver megoldások jóval hatékonyabbak, 
mint a szoftveresek, hiszen a DES rengeteg bitszintű műveletet végez. Az algoritmus rendelkezik az 
úgynevezett lavinahatással, ami azt jelenti, hogy ha a bemeneti blokk kis változására a kimeneti blokk 
erőteljesen változik meg. 


1. Feistel titkosítás 


A DES algoritmust szokás Feistel titkosításnak 1s hívni. Az algoritmus egy 64 bites blokkos algoritmus, vagyis a 
nyílt szöveg egy 64 bites blokkjához egy ugyanekkora rejtjelezett blokkot rendel hozzá. A hozzárendelés csak a 
használatos kulcstól függ. 


Minden lépés az előző lépés eredményét használja fel, mégpedig ugyanolyan módon, bár kulcstól függően. Egy 
ilyen lépést körnek (round) nevezünk, és ezen köröknek a száma a használatos algoritmus jellemzője. 


Legyen t a blokk hosszúság. Legyen ÍK a kódoló függvény a K kulcshoz, amelyet körfüggvénynek nevezünk 
és amelytől nem várjuk el, hogy invertálható legyen. Rögzítünk egy T 7 3 számot (Feistel titkosítások esetén ez 
páros szám) a sorozathoz, a X. kulcs teret és egy módszert, hogy egy tetszőleges £ £ X kulcshoz 
generálhassunk egy Ki... ., Kr kulcssorozatot. 


A kódoló Ek függvény a következőképpen működik. Legyen P a nyílt szövegtér 27 hosszúságú része. 
Kettévágjuk két t hosszúságú részre, azaz P — (Lo, Ho) ahol Lo a bal, Fo a jobb oldali rész. Ekkor a sorozat 


(2, R) — (R.—1. Li—i B fr. (Ri—1]), 1EiÉr 
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DES 


módon jön létre, és 
Ek (La; Ra) tt ÉR, [FEB 


A lépésekben alkalmazott 8 művelet a szokásos XOR műveletet jelenti. A biztonság növelhető a körök 
számának növelésével. A dekódolás a következőképpen megy: 


(1, E—1) kli (EL... R. 8 fx (Li)). LEiST. 
Ezt használva r-szer a Pr, : : : , Xi kulcssorozattal visszakapjuk a (Lo; Ra) eredeti szöveget az (te Le ből. 


The géneral diagram of the DES algorithm. 


INPUT 
PERMUTATIOÓON (iPi 


VESZIK A KEZE 1ögtet 
Ki 
CÉ e 






Ka 


PERMUTATION (IP-!) 


2. DES algoritmus 


A DES kulcsmérete 64 bit, azonban minden nyolcadikat kihagyjuk a felhasználásból. Az elhagyott biteket 
ellenőrzési célokra használják. Igy a valódi kulcsméret 56 bit lesz csak. A DES kulcsok száma 


256 s 7.2 . 1016. 
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Például egy érvényes DES kulcs hexadecimális alakban a következő lehet: 


1334577998 BCDF F1 


vagy bináris kifejtésben a következő táblázat mutatja 


0 1 


2 mm 27 mm E 2 E 
B E EK E E 
ki mi Mm 7 mM É E 


1 Il 0 0 


Az első lépésben a bemenet bitjeit jól összekeverjük, még utolsó lépésben ennek pont az inverzét alkalmazzuk. 
A DES titkosításban ezt inicializációs permutációnak (IP) nevezzük. 


Ez egy bitpermutáció 64 bites vektorokhoz, azaz független a választott kulcstól. Az IP és inverze látható a 
1184 

következő ábrán. A táblázatot a következőképpen kell értelmezni: ha F - 10, 1) , P — PiP2Bz - - . Ba, akkor 

IP(p) — BsaPs5obaz - . . By. 
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Ezután a 16 körös Festel kódolást alkalmazzuk a permutált nyílt szövegre. Végül a titkosított szöveget az IP 
inverzével kapjuk, azaz 


c -IP "(fg Tag). 
3. A belső blokk kódolás 


Az abc a 10, 14 ő a blokk hosszúság 32, és a kulcstér a 10, LP Ekkor egy ÍK : 10, 1 Hi 10, 17 kódoló 
függvényt használunk egy K E 10, [9 kulccsal. Az RE 10, 1] "2 rész kibővítésre kerül egy 
E: 10,1§7 — 1014 függvénnyel. Ezen függvény megadása látható a következő ábrán: 


B BZ MH 
km an E -] 
ta HI 
ked a] DD 
ta HD 
bz  €0 sat 





Ha HR—- RiRoRz . . . Haz , akkor E(R) — Kan Ria ...HzzRi A következő lépés a E(R) 8.K 
kiszámítása és az eredmény felosztása 8 blokkra, melyeket jelöljünk B-vel (l £ 1 — 8). Ezek 6 hosszúságúak, 
azaz 

E(R) Ép K KN B) B- B. B1B: BB: Ba. 

A következőkben az 5; 

S: (0,1$F—f01F, 17iS8 

függvényeket használjuk (ezeket 5-dobozoknak 1s nevezik). Ezen függvények használatával kapjuk a 


di — CI Ca Ca Ca (ns Cg CrC a 


sztringet, ahol C; — S; (B; ). Ezek 32 hosszúságúak. Erre még alkalmazzuk a P permutációt. Így megkaptuk az 
ÍK (R) et. 


4. S5-dobozok 


Ezek alkotják a DES algoritmus , szívét", ugyanis (nagyon) nem lineárisak. Minden egyes § -doboz 
reprezentálható egy táblázattal, amely 4 sorból és 16 oszlopból áll. Minden egyes B; — bi babzbabrbg sztring 
esetén az 5: .B:.) érték a következőképpen számolható kt: 
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Az az egész, amelynek bináris alakja 9196 lesz a sorindex. A babab4br bináris számnak megfelelő egész számot 
pedig oszlopíindexként használjuk. A táblázatban megkeressük az megfelelő értéket, megddjuk a bináris alakját, 
és ha szükséges hozzárakunk további 0-kat, hogy a hossza 4 legyen. Így megkaptuk az -t. 


Például határozzuk meg az 51(001011).t, Ekkor a sorindexet a 01, az oszlopindexet a 0101 adja meg. Ezek 
éppen az 1] és 5 egész számokat jelentik. Az első 5-dobozban a megfelelő cellaérték a 2, melynek a bináris 


alakja az 10, azaz a 4 hosszúság miatt az 51 (00101 1) — 0010. 


5. Kulcsok 


h n 1164 : A 
Végül a kulcsok generálása maradt hátra. Legyen k € 10, 1] egy DES kulcs. Ebből generáljuk a KK, 
l £ 1 £ LŐ kulcssorozatot, melyek 48 hosszúak. 


Definiáljuk a EF; értékeket a következőképpen: 


i 


1, minden ií € í(1,2,9,16]-ra, 

Úsz 
2, egyébként. 

A következő algoritmussal 11II. függvényekkel kapjuk a kulcsokat: 

PC1: 40,197 G 10,1yF" x (o,1yF5, 

PC2: (0,1V" x (0,14F" — fo, 18, 


ahol a fenti függvényeket az alábbiak szerint adjuk meg. 





Az algoritmus: 


1. 

Legyen (Co, Do) — PCL1Ik), 
Minden 1 £ 1 £ l6-ra tegyük a kövekezőket: 
a. 


Legyen C; az a sztring, melyet a Cs—1-ből ciklikus, 4; pozícióval történő balra eltolással kapunk. 
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Legyen B; az a sztring, melyet a D:—1-ből ciklikus, 4: pozícióval történő balra eltolással kapunk. 


Határozzuk meg a K; — PC2(C;, Di ) t, 


A PCI függvény €" és [?, két 28 hosszúságú sztringet ad vissza a 64 hosszúságú kulcsból. Ez a táblázatból jól 
látható. Például, ha FK — Kifoks . . . Ea, akkor 6 — EsrRuag . . . KaG. A PC2 függvény egy (C, D) párból ad 
vissza egy 48 hosszúságú sztringet. Például PC2(biba . . . bs6) — biabir . . . bs2. 


A DES alapján történő kódolással kapott titkos szöveget a fordított sorrendben alkalmazott kulcssorozat 
kódolással kapjuk vissza. 


A lépéseket a következő ábrákon követhetjük legjobban nyomon. 


Computation of the subkeys, 












SEBET 
Fa új 
25 sT5ESPrP2] 
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The cipher tunction F(R.K). 


HK(32 bits) 








, ; vrrerr 


ri? TETT TTT-T] 

[ l l 1 1111 un 

s:](s][ S] 
ij I ja! 


i 


0 
! 








6. Egy DES példa 


Készítsük el a Pp — 0123456789ABCDEF nyílt szöveg kódolását a DES segítségével. Ennek bináris alakja 
az 


hi mi Mm mM mM BE E 
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Alkalmazzuk a korábban már látott IP permutációt, ekkor kapjuk 


0 0 I 


tr li CAT TR an. 


HB Mm MM E mM E MM E TT EI 

mm EDD EE ZT E 
mm mm 

ma DDD E KIE Ó 


— 


azaz 
La — L100110000000000L1100110011111111, 
Ra — LULLŐV001010LÓLÖLLLLÖKKÜLÖLÖŐLŐLŐ. 


Használjuk a korábbi példában megismert DES kulcsot, azaz az esetünkben 133457799BBCDF F 1-et, 
melynek a bináris alakja 
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Hi mm mm 


mM 


HB B MKK BEK BE E E E 
— 


mm 
— 


Számoljuk ki az első kulcsot: 

Ca — ULLOI LIŐOLLVŐÖLŐTLÖLŐT0I1I1, 

Dag — ÜLÜLÖLŐLÖLLŐÖLTIŐ0LLL10001111, 

Ca — UELŐ000110011001010101011111, 

DD — LÖLÖLŐLÖLLŐÖLTŐ0111100011110. 

Ebből kapjuk a 

Ki — O00LLÖLLŐ00000LÖLLIO1TLIL111111000111000001110010 
kulcsot. Ezt felhasználva kapjuk a 

E( Ra) 8 Ki — O11000010001011110111010100001100110010100100111, 
ÉS 

frc. (Ra) — 00000011010010111010100110111011, 

végül 

Ra — LIÓOLLLLŐLŐÖLÖLLÖLLŐ0LŐLŐ1000 100. 

A többi forduló hasonlóan számolható kt. 


A DES.exe program segítségével lépésről lépésre, a legapróbb részleteket 15 megértve, végig követhetjük a DES 
módszer működését. 


7. A DES biztonsága 
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A feltalálása óta a DES biztonságát intenzíven vizsgálták. Speciális technikákkal támadták a DES-t, de máig 
sem sikerült olyan algoritmust találni, amely a kulcs ismerete nélkül feltöri a rendszert. Ugyanakkor, mivel a 
kulcstér nem túl nagy, a mai számítási kapacitások mellett az úgy nevezett , brute force" támadásokkal szemben 
tehetetlen a rendszer. Ezekben az esetekben , egyszerűen" végig nézzük a összes lehetséges kulcsot a megfejtés 
érdekében. 


Nehezíthetjük a feltörést a DES módszer többszöri, egymás utáni alkalmazásával, az így kapott módszerek a 
TripleDES, illetve 3DES neveket viselik. Az elsőnél három különböző kulcsot alkalmaznak egymás után, még a 
másodiknál a három alkalmazott kulcsból kettő megegyezik. 


Ebben a vonatkozásban fontos tudni, hogy a DES nem csoport. Ez azt jelenti, hogy ha rendelkezünk egy f1 és 
egy 2 kulccsal, akkor nincs olyan harmadik fs kulcs, hogy DES, o DESk, — DES, 


Nyilvánvalóan fordított esetben a többszörös titkosítás nem növelné a biztonságot. 


Végezetül meg kell említenünk, hogy nem csak a számítási kapacitások gyors növekedése dolgozik a DES ellen, 
hanem a növekvő tudásunk az elosztott rendszerekről 15. Azokban az esetekben, amikor a feladat felbontható 
egymástól független részfeladatokra, a számítógépek összehangolt működése nagyon gyorsan eredményre 
vezethet. 
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6. fejezet - Az AES kriptográfiai 
rendszer 


A DES algoritmus 1976-ban való bejelentése óta nagyot változott az informatika világa. Egyre növekedett a 
hálózati adatforgalom, javult a számítógépek gyorsasága és a szakemberek számára egyre nyilvánvalóbbá vált, 
hogy DES már nem nyújtja azt a biztonságot, amit az előző évtizedekben. 


Most a 21. század elején úgy véljük, hogy egy kriptográfiai rendszer élettartama körülbelül 20 év és elvárjuk a 
titkosítási módszertől, hogy a beszüntetése után még Jó ideig (10-50 év) őrizze titkunkat. 


1996-ban az Amerikai Egyesült Államokban a National Institute for Standards and Technology (NIST) 
megkezdte egy új kriptográfiai algoritmus előkészítését. Az új algorimustól való elvárásokat 1997-ben 
publikálták és az AES (Advanced Encryption Standard) nevet kapta. 

A következő elvárásokat fogalmazták meg az új rendszerrel szemben: 


1. 


szimmetrikus kulcsú, blokkos algoritmust kell megvalósítani, 
128-as blokkokat kell használnia, 

128-192-256 bites kulcsmérettel kell dolgoznia, 

gyorsabb legyen, mint a 3DES és nyújtson jobb védelmet, 

a számítógép erőforrásait hatékonyan használja, 


legyen eléggé flexibilis, alkalmazkodjon Jól a különböző platformok lehetőségeihez. 


A megmérettetésben nagy cégek (IBM, RSA Laboratories, Nippon Telegraph and Telephone Corporation), 
illetve kutatócsoportok 1s részt vettek. A végleges győztest három megtartott konferencia, szigorú vizsgálatok és 
törési kísérletek után hirdették ki 2000. október 3-án. A pályázat nyertese a Rijndael szimmetrikus kulcsú 
algoritmus lett, amely a tervezők után, Vincent Rijmen és Joan Daemen, kapta a nevét. 


Vincent Rijmen 
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Az AES kriptográfiai rendszer 


Joan Daemen 





Az algoritmus kiválóan teljesítette a fentebb megfogalmazott elvárások mindegyikét. Érdemes megemlíteni, 
hogy az eljárás nem áll szabadalom alatt. Az algoritmus nagyon stabil, ellenáll a mai támadási módszereknek, az 
egyetlen lehetséges módszer az összes lehetőség végig próbálása (brute-force támadás). 


1. Alapok 


A Rijndael helyettesítő és lineáris transzformációkat ötvöző módszer. Hatalmas előnye, hogy a körkulcsok 
készítése gyors és a megvalósítás párhuzamosítható, ami nyilvánvaló előny a sebességet nézve. Az ismétlődő 
körfüggvények négy egymástól független transzformációból állnak, ezeket a továbbiakban rétegeknek nevezzük 
és az alábbiakban részletezzük. 


A lineáris keverőréteg feladata a dobozok nagyfokú keveredésének megvalósítása. A MixColumns nevű 
réteg (oszlopszíinten párhuzamosítható), még a ShiftRows nevű sorszinten párhuzamosítható. 


A nem lineáris réteg egyetlen §-dobozt használ és a SubBytes réteg bájtszinten párhuzamosítható. 


A kulcsfüggő réteg (key addition layer) teszi kulcsfüggővé a végső eredményét. A módszer egyszerű XOR 
műveletet használ és minden körben más-más Roundkey körkulcsot. Az AddRoundkKey réteg bájtszinten 
párhuzamosítható. Megjegyezzük, hogy a többi réteg kulcsfüggetlen. 
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Az AES kriptográfiai rendszer 


A körfüggvényeket az általunk továbbiakban tárgyalt AES-128 esetében 10-szer kell ismételni, az elsőből 9 kört 
kell elvégezni, még a másodikból egyet. A ki- és bemeneti adatokat egy State nevű struktúrában tároljuk. 


1. 
Round (State, Roundkey) 
a. 


SubBytes (State) 
ShiftRows(State) 
MixColumns(State) 
AddRoundkKey(State, RoundkKey) 


Finalkound (State, RoundKkey) 
a. 


SubBytes(State) 
ShiftRows(State) 


AddRoundkKey(State, RoundkKey) 


Az utolsó kör kicsit eltér az előzőektől, kimarad egy réteg. A zárójelekben láthatjuk, hogy mikor használjuk a 
kulcsot és mikor nem. 


Az algoritmus megértéséhez szükségünk lesz néhány fogalomra, a szó 32 bitet jelent, a blokkméret (VB) a 
blokkok méretét jelenti szavakban kifejezve, amely esetünkben Vg — 4.A kulcsméret (Vr) a kulcsméretet 
jelenti szavakban megadva, azaz esetünkben Vw — 4 


A körök száma függ a blokk- és kulcsmérettől 15, esetünkben, ahogy fentebb 15 említettük ez 10 kört jelent 
(Ne 7-7 10) 


2. A korfüggvény rétegei 
2.1. State struktúra 


A state-struktúrát kényelmesen ábrázolhatjuk egy 4x4-és négyzet segítségével, ahol 15 minden négyzet egy-egy 
bájtot jelent. 
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Az AES kriptográfiai rendszer 





A state struktúra feltöltésekor, a kulcs és a titkosítandó anyag feltöltésekor fentről lefelé és balról jobbra kell 
haladni. Az state-struktúra oszlopvektorait tekinthetjük szavaknak. 


2.2. SubBytes transzformáció 


A SubBytes transzformáció egy nemlineáris, invertálható §S-dobozt alkalmaz, minden bájt helyettesítése 
ugyanazzal az §-dobozzal történik. A következő összefüggés mutatja a műveletek elvégzésének szabályát, ahol 
b; az adott bájt i-edik bitjét jelenti és €: az 1-edik bitjét a C — 01100011 kettes számrendszerbeli számnak, ahol 
ÜS1STfA 


b; — b; B ÖrgyaYmod aj B Brr4-sxmod 8) B b(rGyYmod a) B Bri3-zymod a) B Ci 
egyenlőségben bitszintű műveletek vannak definiálva, ahol a bitek számozása a szokásos módon jobbról-balra 
történik. Minden esetben a vesszővel jelölt betű a megváltozott értéket jelzi. Az értékeket előre ki lehet 


számolni, a használatos S5-doboz hexadecimális formában megtalálható a FIPS közleményében [4]. A 
kövekezőképpen tudjuk elképzelni a folyamatot: 


maja teso] 


221528 
: pe sali 
O3 215383 
Nyilvánvaló, hogy a fejtéshez ís szükség van információra. Ezt az S-doboz inverze fogja szolgáltatni (a 
szakirodalomban InvSubBytes módon jelölik), amely egyszerűen meghatározható. 






2.3. ShiftRows transzformáció 


A ShiftRows a legegyszerűbb rétegfüggvény, mindössze annyit csinál, hogy a sorokat különböző mértékben 
eltolja jobbra. Esetünkben az első sort helyben hagyja, a másodikat eggyel, a harmadikat kettővel, még a 
negyediket hárommal tolja el. Ha visszagondolunk a klasszikus részekben mondottakra, akkor ezek ugyanazok a 
lépések, amelyeket a Playfair módszernél alkalmazunk, ha a választott betűpár egy sorban van. Nyilvánvalóan 
az InvShiftRows inverz művelet ugyanezek a lépéseket tartalmazza a másik irányban. 
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2.4. MixColumns transzformáció 


Amennyire egyszerű volt a ShiftRows transzformáció, olyannyira bonyolult MixColumns. transzformáció, 
aminek azért illik örülnünk, hisz egy kiváló szimmetrikus módszernél illik merész ötleteket felvonultatni. 


Ahhoz, hogy megértsük ezen réteg lelkét, némi matematikai háttérrel fogunk megismerkedni. Az AES 
működése valójában bájt szintű műveleteken alapszik, amit az előző rétegeknél már láttunk. Legyenek egy B 
bájt bitjei rendre B7.BG.B5 54. B3.B2 Bi Bo és rendeljük ehhez hozzá a 


bír) — B:T" tt Bsz" 3 B.x? - Bit 3 Bar? 3 Bor? 3 Burt Boa" 


polinomot. Az ilyen polinomok együtthatói nullák és egyesek, így bármely 8 tagú bitsorozathoz egyértelműen 
rendelhetünk egy  polinomot és viszont. Példaképpen az T" 4 T-4-l polinomhoz egyértelműen 
hozzárendelhetjük a 11000001 1) bitsorozatot, illetve a 183] hexadecimális számot. 


Ilyen esetekben a polinomok közötti összeadást úgy végezzük, hogy az a zones hatványok együtthatóit (mod 2 
EAN hg Például, ha az előző polinomhoz hozzáadjuk az T" 4 r? --r7 hr tl polinomot, akkor az 
ba b zt 4 Tr" polinomot kapjuk. A bináris jelölést használva az 


f(100000117 €s f01010111) — (11010100) 


egyenlőséget kapjuk. Ugyanezt az eredményt akkor is, ha az összeadást bájt szinten végezzük hexadecimális 
számokkal 1831 € 157f — íd4j, Másképpen fogalmazva az AES algoritmus a ír (25 ) véges testet használja 
a MixColumns réteg definiálásakor. 


Tekintsük a most a SZOTZÁS műveletét, ehhez szükségünk lesz az AES algorimusnál használt 
mise tétet teti irredúcibilis polinomra (lásd [4], az általunk definiált hexadecimális 
írásmódban ez így írható m(r) — 101HLB], A továbbiakban a szorzás (") művelete a két polinom szokásos 
szorzatának TT ]el történő maradékát jelenti számunkra. 


Az előbb részletezett módszert követve, hexadecimális írásmódot alkalmazva, azt kapjuk például, hogy 


197] ai 183] 5 (elj, Ennek az igazát úgy tudjuk bizonyítani, hogy elvégezzük először a szokásos szorzást. 
Természetesen ügyelünk arra, hogy az összeadásokat a fentebb említett módon végezzük, így 


f.. i 2 úr ÉT j 1 alá A; ja ab ta JT NT ölbe. 
(e ge hr trillió trti)— stee te tetette tr hr il. 


A következő lépésben végezzük el az AES algoritmusban használatos irreducibilis polinommal való maradékos 
osztást, amelynél a megjósolt végeredményt kapjuk 


ké ! hi bg a li 8; j B; i 3 ! fi űj 
ző ret ge rati e hr het iz 3] imod- titi ditzitil]-r thrill. 


Tudjuk, hogy a modulus képzés kiváló arra, hogy a vektorokban lévő szabályosságot teljesen összezavarja. Itt 
sincs ez másképp, nincs olyan más egyszerű bináris művelet, amely az így kapott eredményt előállítaná, tehát 
remek az ötlet. Megjegyezzük, hogy az osztás után kapott végeredmény legfeljebb 7-ed fokú, így az együtthatók 
kiválóan ábrázolhatók egy bájton. 


Al 9) művelet asszociatív és a 1011 elem a struktúrában az egység. Tetszőleges 8-ad fokúnál kisebb fokszámú 
bináris polinom inverze meghatározható a kibővített Euklidészi algoritmus használatával. 


Már csak egy lépés szükséges a tisztán látásunkhoz. Figyeljük meg, hogy mi változik, ha a bíz) polinomot 


ik. — ; . 
megszorozzuk azt — 102] polinommal. Először :x-el szorzunk, így a 
ér vili -b Br Tr -t Baz s Bag 7 -b Ba: T -k Boa" -- B. a" -- Bor" 


polinomot kapjuk. A (8) művelet előírjamod míg) modulusképzést az így kapott polinommal. Ha B7 — Ü, 
akkor semmi teendőnk nincs, hisz a modulus képzés semmit nem változtat. Ha Br — l akkor az mir) 
polinomot vonjuk ki a kapott polinomból, avagy s EKTKMEEE XOR-oljuk össze mir el. Azt láthatjuk, hogy a 
102] polinommal a szorzás egyszerű, az ábrázolt b(T) polinom együtthatóit egy hellyel balra toljuk, és ha a 
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bájtból kilépő érték 1-es, akkor a számot XOR-oljuk (1b vel. Ezt a műveletet a Rijndael módszer 


jelét zását d 


birtokában már kényelmesen el tudjuk végezni. 


A MixColumns transzformáció a state-struktúra bájtjait alakítja át, minden esetben úgy, hogy a bájtokat egy 
előre meghatározott polinommal szorozza meg a fentebb ismertetett módon. Minden egyes új bájt függ az 
eredeti bájt oszlopban lévő összes bájttól. Nyilvánvaló, hogy akármilyen kis változás egy bájtban a kép teljes 
megváltozását vonja maga után. A következő összefüggések definiálják az új oszlopokat: 


She — 024) 9 501) B (083) 9510) B Sze B Sze 
81c— Soc 8 (1021 651.) (103) 9 520) B Sze 
— Soc B 51. B (1024 e 52.) B (103) e 520) 
53. — (103) 9 50) B 51.c B 52. B ÚO2) 9 53) 


Ún 
Ej ss 
Ti 

l 





A fentiekhez hasonló összefüggés definiálja az InvMixColumns. utasítást, amelyet legális fejtés esetén kell 


használnunk. Ez a művelet, ahogy a nevéből 1s kiderül, a MixColumns művelet inverze. Az itt definiált (s) 
művelet az előzőekben ismertetett művelettel egyezik meg. 


10bj e s1) B [d0dj e sze) B (1095 e 53.) 
(0€) e 51.) 6 (104) e 52.) 6 (10d) e sz.) 
109] e s1.e) B (10ejf e sze) B 0bj e sze) 
£0d) s 51.) 6 (109) s 52.) 8 ((0€) e sz.) 


s0e — ((0e) e 50) € 
51e — [091 e 500) 8 
52. — (0d) 9 50) 
53. — Ob) e 50) 8 


2.5. AddRoundKkey transzformáció 


Ez a réteg teszi kulcsfüggővé a titkosítási módszerünket. A művelet maga sokkal egyszerűbb, mint az 
előzőekben ismertetett MixColumns. A művelet egy egyszerű összeadás (XOR) az eddigiekben kialakult 
struktúra és a körkulcs bájtjai között. 


Az általunk megadott titkos kulcsból egy hosszú, úgynevezett kiterjesztett kulcsot készít az algoritmus. A 
kiterjesztett kulcs elejére a titkos kulcs másolatát teszik, majd minden további szó a korábbi szavakból 
származtatható. Egy körkulcs MB szót tartalmaz, azaz esetünkben 4-et, és NR -t l darab körkulcsra van 
szükségünk a megadott titkos kulcsot 15 beleszámítva. Az AES-128 esetében a körkulcs hossza NelNpt 1] 
azaz 44 szó. Minden egyes esetben a kiterjesztett kulcsot a state-struktúrával egyező méretű darabokra kell 
vágni. A hozzárendelésnél egy kicsit vigyázni kell, mert az első körkulcs, azaz az első NB darab szó a nulladik 
körhöz, a második körkulcs, azaz a második /Y B darab szó az első körhöz tartozik. Ezt értelemszerűen folytatva 
kapjuk a további megfeleléseket. A körkulcsokban a szavak rendre az első, második, harmadik, illetve negyedik 
oszlophoz tartoznak, azaz ilyen sorrendben kell elvégeznünk a XOR műveleteket. A lépéseket a következő 
egyenlőség írja le 


/ / / rGG NN KRSNTANS pe 2 AT 
E 816199 e S5 el E (80 81.c192.c9 S3el EB WroundaN g-kci ÜSsced Nnp, 


ahol a round kifejezés az aktuális kör számát jelenti, a iv vektorról pedig a következőkben írunk. 
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A körkulcs generálás teljes megértéshez szükségünk van két újabb függvényre. A SubWord függvény bemenete 
és kimenete egyaránt egy 4 bájtos szó, a bemeneti négy bájt mindegyikére hagúbBytbs S-dobozát alkálnagzéuk! 
A RotWord függvény kimenete szintén egy négy bájtos szó, amely az betűsorrendet 
betűsorrenddé alakítja át. 


Minden körhöz tartozik egy konstans (Rcon[1]), amelyet az előzőekben megismert írásmódot használva az 
2—1 ge . . . 
ése 100], 100], 100f] kifejezés határoz meg, ahol a hatványozás a fejezetben megismert módon történik. 
Megtartva a hexadecimális jelölést :T-et 1021.vel jelöljük. Az 1 index kezdőértéke I. 


A kiterjesztett kulcs első Yx szava a titkos kulcsot tartalmazza, minden további szót, jelölje ezt W:, az eggyel 
korábbi 1;3—1, és az Nx-val korábbi Wi—N re szavak között végzett XOR művelet adja. 


Azon szavak esetén, amelyek pozíciója .Vx többszöröse, a W:—1 és az Rcon[i] közötti XOR művelet adja azt az 
eredményt, amelyre ezután a SubWord és a SubBytes műveleteket alkalmazzuk. 


A fentebb bevezetett 19; 4 bájtos szó, ahol 512 Np (NR 7 1), 

Most már minden részlettel tisztában vagyunk. A Rijndael titkosító algoritmusnál beállítunk egy titkosító 
kulcsot, majd elkészítjük a kiterjesztett kulcsot. Ezek után VR — 1 körben a fejezet elején ismertetett Round 
függvényt alkalmazzuk, majd pedig Finalkound függvénnyel készítjük el a titkosított képet. 


aes.msi 


A fejtéskor a titkosító algorimus lépéseinek inverzeit használjuk. Azért, hogy világosan lássuk a sorrend 
helyességét, újra leírjuk a titkosításnál alkalmazott sorrendet 15. 


1 . AddRoundkey (State, 0. körkulcs) 
(a) SubBytes (State) 
(b) ShiftRows(State) 
(c) MixColumns(State) 


(d) AddRoundKey(State, 1. körkulcs) 


9 . AddRgRoundKkey (State, 8. körkulcs) 
(a) SubBytes (State) 
(b) ShiftRows(State) 
(c) MixColumns(State) 
(d) AddRoundKkey(State, 9. körkulcs) 
10. Finalkound (State, RoundKkey) 
(a) SubBytes(State) 
(b) ShiftRows(State) 
(c) AddRoundKey(sState, 10. körkulcs) 
És itt van az inverz sorrend. 
1 . AddRoundKkey (10. körkulcs) 


(a) InvShiftRows (State) 
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(b) InvSubBytes(State) 
(c) AddRoundkKey(State, 9. körkulcs) 


(d) InvMixColumns(State) 


10. Finalkound (State) 
(a) InvShiftRows(State) 
(b) InvSubBytes(State) 
(c) AddRoundKkey(sState, 0. körkulcs) 
A leírásból az 15 nyilvánvaló, hogy az AddRgRoundKkey réteg önmaga inverze. 


Az AES úgy tűnik elnyeri azt a helyet a titkosítás világában, amit neki szántak. Jól működik különböző 
platformokon és az általa nyújtott titkosság 15 eléri a kívánt színvonalat. Ugy tűnik jelenleg, hogy nem létezik 
jobb módszer a feltörésére, mint a nyers erő (, brute-force"), azaz a lehetőségek szisztematikus átnézése. 


3. Titkos kommunikáció 


A jelen fejezetben megismert AES algoritmus egy olyan szimmetrikus algoritmus, amely tartalmaz egy 
kulcsfüggő részt, amely a biztonsága egyik záloga 15. Ugyanakkor a kulcsokat meg kell osztani a résztvevő 
felekkel, amely nem mindig olyan egyszerű dolog. 


Amennyiben fizikailag biztonságos csatornával van lehetőségünk dolgozni a dolog elég egyszerünek mondható, 
hiszen csak a csatorna rongálásával tud a harmadik fél hozzáférni a titkos kulcsunkhoz. Ez a módszer kis 
távolságok esetén kiválóan megoldható, még nagy távolságok esetén nem érdemes ilyet választanunk, mert 
biztonsága nem garantálható és még drága Is. 


A biztosított csatornának nincs fizikai védelme, tehát a támadó csatlakozhat a csatornához és veszélyeztetheti az 
adatközlés biztonságát. A kommunikációhoz, ilyen esetekben különböző protokollokat használnak a felek, 
amely biztosítja adataink sérthetetlenségét. 


ri rr— 1 
Könnyen meg tudjuk mutatni, hogy n számú kommunikáló partner esetén" 2 : kulcsra van szükségünk, ha 
minden lehetséges párnak adni akarunk egy közös kulcsot. Ez nagy számú partner esetén elég sok kulcs 
generálását teszi szükségessé és szimmetrikus módszer használatakor mindenkinek mindenkivel meg kell 
állapodnia. A nyilvánvalóan bonyolult egyezkedéseket az aszíimetrikus kulcsok felhasználása teszi 
szükségtelenné. 





Érdemes megemlíteni, hogy előzetes kulcscsere nélkül is meg tudunk állapodni egy közös kulcsban, amelyre 
egy példa a háromutas kulcsforgalom. A folyamatot képzeljük el úgy, hogy két fél, Alice és Bob akar 
kommunikálni (az elnevezésben megtartjuk az angol nyelvű szakirodalom szokásos neveket). Az üzenetet egy 
ládában kívánják elküldeni egymásnak és mindketten rendelkeznek egy lakattal és természetesen egy 
hozzátartozó kulccsal 15. Először Alice beteszi az üzenetet a ládába és bezárja a saját lakatjával, majd elküldi 
Bobnak. Bob 15 ráteszi a saját lakatját a dobozra, majd visszaküldi Alicenek. Alice leveszi a saját lakatját, majd 
visszaküldi a dobozt Bobnak. Végül Bob leveszi a saját lakatját 15 hozzáfér az üzenethez. 


Az üzenet minden esetben biztonságosan lett elküldve, hiszen volt rajta lakat, ugyanakkor a két fél saját kulcsát 
sem kellett elküldeni. Egyetlen feltétel kellett, hogy teljesüljön a módszer alkalmazásánál, a titkosítási és a 


fejtési módszereknek felcserélhetőknek kellett lennie, azaz 


Ex(DR(D) — Di(Ex(T). 


4. Feladatok 
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Határozzuk meg, hogy a (2A) és (753 hexadecimális számokhoz milyen polinomok tartoznak a fejezetben 
ismertetett reprezentációban. 


2. 
Határozzuk az xtime( 1571) művelet értékét! 

3. 
Legyenek alm) — TŐ Tó 5 l és bír) —2t2ábzrhT adott polinomok. Határozzuk meg 
a(z) ü§ bír) és alm) a bír) (mod m (7) ) értékeket! 

4. 
Legyenek f0.1 — 00111000. 811 — 100110 s21 — 10011101 c, 821 — ÜXKIOLL1 o dott feltöltései 
egy oszlopnak. Határozzuk meg a MixColumns művelet eredményét. 

5. 


Az AES módszerben használt (Rcon[i]), az előzőekben megismert írásmódot használva, 
et 1 ; ; ; 
Ed , 100], 100], 100] módon írható, ahol a hatványozás a fejezetben megismert módon történik. 
Megtartva a hexadecimális jelölést x-et 102 1.vel jelöljük. Határozzuk meg az értékeket az 1 — 1,1— 2és 
Lt — 3 esetekben. 
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Láttuk az előző rész tárgyalásakor, hogy a klasszikus rendszerek az ügyes, olykor szerencsés, fejtők előtt fejet 
hajtanak. Ha ismerjük a módszert és ismerjük a titkosítási kulcsot, akkor egyszerűen eljutunk a forrásszöveghez. 


Tovább kellett folytatni tehát a kutatást olyan módszerek után, melyek ezektől sokkal nagyobb fejtörés elé 
állítják az illegális betolakodót. 


Az 1970-es években Ralph Merkle, Whitfield Diffie és Martin Hellman egy új típusú kódot javasoltak, az 
úgynevezett nyilvános jelkulcsú titkosírást. 


Ralph Merkle 


Whitfield Diffie 
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Knapsack 


Martin Hellman 





Olyan titkosítást szerettek volna megvalósítani, melynél a titkosítási módszert publikussá is lehetne tenni, 
ugyanakkor nagyon nehéz visszafejteni. Persze nem lenne túl épületes a módszer, ha a legális felhasználónak 15 
rengeteg munkájába kerülne a fejtés. Ezt úgy lehetne megoldani, hogy egy parányi információt eltitkolunk az 
avatatlan szemlélőtől, amely aztán bennünket a gyors megfejtéshez vezet. 


A matematikában egy kicsit 15 Jártas olvasó bizonyára rögtön fennakad a , nagyon nehéz" kifejezésen, ugyanis 
ez nem egy Jól definiált fogalom. Ha precízebben akarunk gondolkodni a fogalomról, akkor el kell mélyednünk 
egy kicsit a bonyolultságelmélet problémáiban. Ebben a témában sok kiváló kiváló művet olvashatunk (lásd 
például [6], [10]). 


A továbbiak megértéséhez egy rövid kitérőt teszünk, hogy alapvető benyomásaink legyenek arról, hogy mit is 
értünk a , könnyű" és , nehéz" kifejezéseken. Tetszőleges algoritmus időkomplexicitása a bemenő adatok 


hosszúságának egy függvénye. Akkor mondjuk, hogy az adott algoritmus f (n ) időkomplexicitású, ha 
tetszőleges n hosszúságú bemenet esetén az algoritmus legfeljebb f (n ) lépésben véget ér. 


J. Edmonds és A. Cobham úgy látták, hogy az algoritmusoknak bonyolultság tekintetében két fő osztály van. Az 
egyik a , Jó" algoritmus, amelynél az előző függvény polinomiális, a másik a , rossz? algoritmus, amelynél 
exponenciális. 


Az egyik esetben tehát f (n herr típusú, még a másik esetben €3 a" alakú, ahol €1.€2. 5, ü az algoritmushoz 
rendelt konstansok. 


(Itt jegyezzük meg, hogy egy olyan algoritmus, ahol f(n) — LO9n 15 , Jó" algoritmus a definíciónk szerint, 
de gyakorlatilag használhatatlan. Más esetben pedig, ha fln) — ezpl10-9n ], akkor ez definíció szerint egy 
, Tossz" algoritmus, bár nagyon sok ri esetén Jól működik.) 


Jelöljük F-vel azon problémák osztályát, amelyek polinomiális idő alatt megoldhatók. Jelölje V.F a 
z B 


nemdeterminisztikus polinomidejű problémákat, amelyekre az igaz, hogy egy adott n és B esetén az fin) 
egyenlőtlenség teljesülését polinomiális idő alatt ellenőrizni tudjuk. 


Máig megoldatlan probléma, hogy a F — NF egyenlőség igaz-e. Az nyilvánvaló, hogy F-beli problémák 
egyben NY F-beliek is. A másik irányra az a sejtés, hogy nem igaz. Hallatlanul nehéz viszont bizonyítani, 
ugyanis az összes lehetséges algoritmust figyelembe kellene venni és megmutatni, hogy egyikük sem hatékony. 


További bonyodalmat okoz, hogy azok a problémák, amelyek ! F-beliek és úgy gondoljuk, hogy nincsenek 
benne F-ben, általában azonos nehézségűek. 
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Egy N F problémát /V F-teljesnek mondunk, ha abból, hogy az megoldítígtó polinomidő alatt, minden Y FXbeli 
probléma polinomidejű megoldhatósága következik. A szóbajöhető problémákról kiderült, hogy - 
teljes problémák, tehát nagyöf távol vagyunk az említett probléma megoldásától. (Megjegyezzük, hogy a 
prímtényezőkre bontás nem -teljes.) 

Megemlítenék néhány ilyen jellegű problémát. 


1. 


( Rendezési probléma) Egészek egy adott halmazát rendezzük növekvő sorrendbe. 


( Ládapakolási probléma) Adott különböző méretű tárgyak egy halmaza, helyezzük el őket a lehető 
legkevesebb rögzített méretű ládában. 


( Utazó ügynök probléma) Adottak bizonyos városok, amelyek mindegyikét pontosan egyszer kell felkeresni. 
Mi a legrövidebb út? 


( Hozzárendelési probléma) Adottak a kurzusok, tanárok és diákok adatai, készítsünk olyan órarendet, 
amelyben nincs ütközés. 


Ezen megjegyzések után elképzeljük egy kriptográfiai rendszer tervezését. 


Válasszunk egy , nehéz" problémát, azaz egy olyat amely nem F-beli. Vegyük ennek a F-beli problémának egy 
, könnyű" Fk alapproblémáját, ami jelentse azt, hogy megoldható lineáris idő alatt. 


Ezek után valamilyen matematikai módszer segítségével toljuk el ezt a Fk problémát egy F k problémába, amely 
inkább F-re emlékeztet, mint Fr-ra. 


Ezek után F h-t publikáljuk és titkos csapóajtóként elrejtjük a Fk problémába való visszajutás módszereit. 


Így a legális felhasználónak egy , könnyű"? problémát kell megoldania a fejtéshez, még az illegálisnak egy 
, nehezet". 


Jellemző, hogy a nyilvános rendszerek mélyen fekvő problémáiról nagyon keveset tudunk. Nagy 


valószínűséggel ezek a problémák /V F-teljes vagy magasabb komplexicitásúak. Ilyen probléma például egy 
egész szám faktorizációja, prímség megállapítása, vagy bizonyos nagyságú prímek keresése. 


1. Hátizsák probléma 


Az első olyan probléma, amely alkalmas arra, hogy megvalósítsuk a nyilvánosság igényét, a Hátizsák probléma. 


Maga a probléma a titkosítási lehetőségek nélkül 15 régen foglalkoztatja a matematikusokat. A kérdés az, hogy 
ha van egy hátizsákunk és egy csomó apróságunk, van-e módszer annak eldöntésére, hogy melyeket válasszunk 
ki azért, hogy a hátizsák tele legyen. 
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Első olvasáskor 1s érezhető, hogy ha hatalmas hátizsák van birtokunkban és rengeteg kisebb nagyobb aprósággal 
akarjuk telezsúfolni, akkor a próbálkozós módszer elég sok ideig fog tartani. Precízebben fogalmazva legyen 
adva egy A :— (a1,d2,....ün) vektor, melynek elemei pozitív egészek, és egy pozitív £ szám. Határozzuk 
meg azon ü:; értékeket, melyeknek az összege k. A próbálkozások biztos módszerét követve 2" lehetőséget 
végig próbálva biztosan eredményre jutunk. Ez 1lü elemnél nem is tart túl sokáig, hiszen csak 2048 
próbálkozásra van szükségünk. Ellenben, ha 300 elemet kell végig próbálni, akkor már egy , nehéz" 
problémával kell szembe néznünk. 


Ha nem tévesztjük el célunkat, azaz továbbra 1s egy titkosítási módszer előállítása a cél, akkor a kérdés az, hogy 
van-e a Hátizsák problémának olyan változata, amikor a bepakolás egyszerű. El tudunk képzelni ilyen kellemes 
helyzetet. 


Legyen ugyanis minden csomag olyan nagy, hogy a tőle kisebb összes csomag együttesen beleférjen, de ne 
töltse ki. Ekkor a pakolás egyszerű. Vegyük elő a zsákot és rakjuk bele a lehető legnagyobb csomagot. 
Nyilvánvaló az előzőek miatt, hogy ha ezt kihagyjuk, akkor az összes többi kicsi ekkora helyet már nem tölthet 
ki. A maradék helyre megint tegyük bele a lehető legnagyobb csomagot, amely lépés szükségszerűségét az 
előzőek indokolják. Ha folytatjuk ezeket a lépéseket, rövid időn belül célhoz érünk, azaz tele lesz a hátizsák 
vagy meggyőződünk róla, hogy nem lehetséges a pontos bepakolás. 


1982-ben Ralph Merkle felállított egy nyilvános kulcsú titkosítást, amelyet a Hátizsák problémára épített. A 
kitaláló 1000 dollárban fogadott, hogy a kód feltörhetetlen. 


teát Alek a 


hogy a betűk pozitív egész számokat jelölnek. 


Az A :— [d15d2, . . . , an) vektor szupernövekvő, ha minden szám nagyobb az előzőek összegénél, azaz 


3—1 
aj: y az 77-43... ,T. 
1-1 


Ezek után lássuk az ötletet. Az egyszerűség kedvéért tegyük fel, hogy az A.B betűpárt akarjuk titkosítani és a 
szupernövekvő vektorunk 10 elemű. Legyen adott a (7 — (€1, C2y s. 10) szupernövekvő vektor. 


Feleltessük meg az A betűt a MMÜl, a B betűt a 00010 bitsorozatnak. Más betűk esetén hasonló kódolást 
végzünk, azaz a betű ABC-beli sorszámát kettes számrendszerben 5 biten ábrázoljuk. Mondhatjuk, hogy AB 


Képezzük ezután a C és X AB vektorok C.X Ap skaláris szorzatát. Nyilvánvaló, hogy az így kapott összeghez a 
szupernövekvő vektornak csak azok a komponensei adnak járulékot, amelyek megfelelői a kódolt szövegben 1- 
gyel egyenlőek. 
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Így tehát egy egész számot kagtunk, amelyből a titkosított szöveget csak az tudja visszafejteni, aki meg tudja 
mondani, hogy ez a szám az — vektor mely komponenseinek összegeként áll elő. Ekkor fel tudunk írni egy 
egyesekből és nullákból álló vektort, amelyben egyes szerepel egy adott helyen, ha a megfelelő helyen lévő - 
beli elem benne van az összegben és nulla, ha nem. 


Ezután már csak dekódolnunk kell a nullákból és egyesekből álló számsorozatot és a megfejtés kész. 


Szupernövekvő vektor esetén ez nem jelent problémát. Az előzőekben említett hátizsákba való bepakolás 
szisztémáját követve általános esetben a következőképpen járhatunk el. Legyen adva egy 
A :— (d1,d2,.... An) szupernövekvő vektor és tételezzük fel, hogy a kódolt szöveg (ami csupa egyesből és 
nullából áll) pontosan egy n dimenziós X sorvektornak felel meg. Az A.X skaláris szorzat értékét jelöljük k- 
val. Ekkor a fejtő a következőképpen járhat el. Megvizsgálja, hogy a 7 ün egyenlőtlenség teljesül-e. Ha igen, 
akkor az X vektor utolsó helyén egyes áll, ha nem, akkor nulla. Ezután F1-et úgy definiáljuk, hogy 


ka k , hak za, 
271 k—an ,hak 7 az. 


Hasonlóan folytatva az eljárást 41-ig megkapjuk, hogy mely helyeken vannak egyesek és mely helyeken nullák. 
Ez az alak lesz a keresett betüknek a kódolt alakja. A dekódolás ezután egy egyszerű táblázat segítségével 
könnyen megvalósítható. 


Jól látható, ha az A vektort közöljük a megfejtés nagyon egyszerű. A továbbiakban az egyszerűség kedvéért az 


(A, a) probléma megoldásáról beszélünk, ha egy a számot bontunk fel egy A vektorban szereplő komponensek 
összegére. 


A probléma az, hogy a fejtés az illegális fejtőnek 15 nagyon könnyű, ami pedig ellentmond kitűzött céljainknak. 


Meg kell tehát vizsgálni, hogy hogyan tudjuk ,elrontani" az A vektort úgy, hogy ne látszódjon 
szupernövekvőnek, de mi vissza tudjuk belőle állítani az eredeti vektort. Így megvalósulna a nyilvános kulcsú 
kódolás gondolata, hisz egy tetszőleges vektor komponensei összegeként előállítani egy számot nagyon nehéz 
feladat, feltéve ha a komponensek elegendően nagyok és sokan vannak. 


Ezek a nem pontosan körülírt fogalmak azt jelentik, hogy olyan vektort kell választanunk, amelyekből az összeg 
tagjainak a kiválasztása a fejtés szempontjából irreálisan hosszú ideig tart. Ami azt jelenti, hogy az illegális 
fejtőnek nagyon nehéz dolga van, a szupernövekvő vektor ismerője pedig könnyen megoldhatja az előző módon 
a fejtést. 


Válasszunk egy olyan mi természetes számot, melyre 


Tt 


m.o. ) Ül; . 


11 


Ez az m nyilvánvalóan sokkal nagyobb bármelyik €:-nél, hisz az A vektor szupernövekvő volt. Legyen t olyan 
természetes szám, melyre ít, m])- ll Az n számot modulusnak, a t-t szorzónak nevezzük. 


A t választásából következik, hogy létezik egy t" -el jelölt természetes szám, melyre 
tt 1-1 (mod mm). 


Ezen választások után képezzük a £4:: (i— 1.2, sakisogolt ] szorzatokat és redukáljuk (mod Mm] így rendre 
b1., Da, . . . , Dn értékeket kapunk. Az így kapott B - (bi, b2, . . . , Dan) vektort publikáljuk titkosító kulcsként. A 
B vektor nem szupernövekvő, így hiába publikus a kulcs, a fejtés gondot okoz. Az A vektoron végzett 
műveletek sorozatát erős moduláris szorzásnak nevezzük m-re és t-re vonatkozóan. A ést" és m értékek 
képezik a titkos csapóajtót, amiknek segítségével a legális felhasználó visszafejtheti a B vektorból az A vektort. 
Ugyanakkor meghatározhatja a titkosításból származó A összeg a , ősképét", amit aztán A ismeretében és az 
említett algoritmus segítségével megfejthetünk. A csapóajtó használatát és a módszer jóságát a következő tétel 
bizonyítja. 
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7.1. Tétél.  Fegyük fel, hogy A — (a1,d2,...,ün) egy szupernövekvő vektor és a B 
vektort  -ból u ze És! -renvonltkoztatott erős moduláris szorzással származtatjuk. Tegyük fel 


továbbá, hogy , — tetszőleges pozitív egész és 
az ug [modmj]), O€gadgm. 
Ekkor érvényesek a következő állítások: 


. Az( A, a) hátizsák probléma lineáris idő alatt megoldható. Ha létezik megoldás, akkor az 
egyértelmű. 


e A (B, A ) hátizsák problémának legfeljebb egy megoldása van. 


e Ha a (8, B) problémának létezik megoldása, akkor az megegyezik az (A, a) hátizsák 
probléma egyetlen megoldásával. 


Bizonyítás. — Az első rész nem szorul bizonyításra, hisz láttuk a megoldási módszer 
algoritmusát. 


A harmadik rész bizonyításához tételezzük fel, hogy létezik egy nm bites /) vektor, amely 
megoldása a (B . 5) hátizsák problémának, azaz BD 7-8 Következésképpen a 


a z u — uBD —- ultAájJD — AD (mod m). 


Mivel mn nagyobb A komponenseinek összegénél, ezért ADam. Az azxm 
egyenlőtlenség is teljesül az definíciója miatt. Így nyilvánvalóan érvényes az AD — a 
egyenlőség, azaz 1) megegyezik az (A, a) hátizsákprobléma egyetlen megoldásával. Ami így 
a második rész érvényességét 1s igazolja. a 


Ralph Merkle az 1000 dolláros fogadását elvesztette. Adi Shamir a kód egyik változatát azonnal feltörte, bár ez 
nem volt elég a fogadás megnyeréséhez. 


Adi Shamir 





Ernest Brickellnek azonban 1985-ben sikerült egy gyors algoritmust találnia a hátizsákprobléma megoldására, 
azaz sikerült feltörnie az előzőekben megismert titkosítási módszert. 
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8. fejezet - Az RSA titkosítási 
rendszer 


A 70-es években egyre inkább foglakoztatta az informatikusokat a kulcsmegosztás problémája. Elkezdődött a 
számítógép hálózatok kialakulása és a legtovább látók látták, hogy a kulcsok megosztása lesz az egyik 
legégetőbb kérdés a jövő informatikájában. 


A délibábnak tűnő vállalkozásban persze csak néhány eltökélt tudós vett rész, így Whitfield Diffie, Martin 
Hellman és kicsit később Ralph Merkle. Olyan függvényeket kerestek, amelyet ők egyirányú függvénynek 
neveztek, azaz olyanokat, amelyeknél az egyik irányban gyorsan tudunk számolni, a másik irányba pedig nincs 
esélyünk. Egy kicsit pontosabban, visszafelé csak valamiféle extra információ segítségével tudunk haladni. 
Valójában ötleteik az aszimetrikus titkosítás alapjait teremtette meg. Kidolgozták a Diffie-Hellman-Merkle-féle 
kulcsmegosztási rendszert, amely működött 15, csak nem tökéletesen. Tovább folytatták kutatásaikat a Stanford 
Egyetemen, keresték azt a bizonyos egyirányú függvényt, amely valósággá változtatja az aszimmetrikus kódot. 
Eltökélt munkájukat leginkább Martin Hellman egy mondata jellemzi. , Isten megjutalmazza a bolondokat." 


A számelmélet egy nagyon híres művelője G. H. Hardy (1877—1947) így írt munkásságáról: , Soha nem 
csináltam semmi , hasznosat". Az ész egyetlen felfedezése sem változtatott a világon, és nem valószínű, hogy 
valaha is változtatni fog rajta közvetve vagy közvetlenül, jól vagy rosszul, akár kis mértékben 1s. Részt vettem 
más matematikusok képzésében, ugyanolyan matematikusokéban, mint amilyen én vagyok, és munkájuk — vagy 
legalábbis amennyi ebből az én segítségemnek tulajdonítható — mind ez ideig épp olyan haszontalan volt, mint a 
sajátom. A matematikus életének értéke, bármiféle gyakorlati norma szerint ítéljük 15 meg, a nullával egyenlő; 
és mindenképpen jelentéktelen a matematikán kívül." 


G. H. Hardy 





A kiváló matematikus sok megjegyzésével lehetne vitatkozni, de fél évszázad távlatából ez nem lenne túl bölcs 
dolog. Amiért mégis ide kívánkoztak ezek a sorok annak az az érdekes tény az oka, hogy a nyilvános kulcsú 
kódolás ötletének megvalósítása a számelmélethez, a , matematika királynőjéhez", vezette a kutatókat, immáron 
gyakorlati hasznot húzva Hardy , haszontalan" tudományából. 


1. RSA 


A nyilvános kulcsú kódolás megvalósítása érdekében tovább folytak a kutatások. Az új ötlet a prímek világából 
származik. 


Úgy gondolhatnánk, hogy egy összetett szám prímtényezőkre bontása egyszerű dolog. Ez az elképzelés igaznak 
is bizonyul, ha a szám nem túlságosan nagy. A matematikai részben szereplő bonyolultságelméleti kitérő 
azonban rámutat, hogy ez az elképzelés nem tartható, ha a szám elegendően nagy, azaz nem ismerünk olyan 
gyors algoritmust, amely a prímtényezőkre bontást gyorsan végzt. 
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Ifj. Hendrik W. Lagi$tra ezt tréfásan úgy fogalmazta: , Tegyük fel, hogy a takarítónő tévedésből kidobta a ? és § 
számokat, de a szorzat megmaradt. Hogyan nyerhetjük vissza a tényezőket? Csakis a matematika 
vereségeként érzékelhetjük, hogy ennek legreményteljesebb módja a szeméttelep átguberálása és 
memohipnotikus technikák alkalmazása." 


Ted Rivest, Adi Shamir és Leonard Adleman az MIT számítástechnikai laboratóriumában dolgozott és ismerték 
Diffie, Hellman és Merkle munkásságát és szerették volna megalkotni a mások által megálmodott egyirányú 
függvényt. 


Egy húsvéti Jól sikerült ünnepség után, 1977 áprilisában talált rá Rivest a megoldásra, aki munkatársaival együtt 
jelentette meg a cikket, amely új utakat nyitott a kriptográfiában. Neveik kezdőbetűiből a módszert RSA 
titkosítási rendszernek nevezzük. A kis Fermat-tétel segítségével sikerül eldugni a kulcsot az avatatlan szemek 
elől. A titkosítási módszert a következőkben részletezzük. 


Ted Rivest, Adi Shamir és Leonard Adleman 





Legyenek ? és d különböző prímszámok, általában száz vagy több jegyű decimális számot választunk. Jelöljük 
a szokásos módon $17t).nel az n-nél nem nagyobb, n-hez relatív prím pozitív egészek számát. 


Ekkor, ha 7"! — P4, akkor a 
óln) — (p—1)(g—1) 


egyenlőség teljesül. Az ". számot modulusnak nevezzük a továbbiakban. Válasszunk a következő lépésben egy 
d 5 l számot úgy, hogy (d, eln) —1 és határozzuk meg azt az e számot, melyre l7€—- óln) 
egyenlőtlenség teljesül és amely kielégíti az 


edz 1 (mod óáln])) 


60 
XMLmind XSL-FO Converter 


Az RSA titkosítási rendszer 


kongruenciát. 


Ezen értékek megválasztása után a titkosítandó szöveget kódoljuk és az így kapott ! értéket titkosítjuk. A 
titkosított (" szöveget a 


C-Tímodn) 
egyenlőség határozza meg. 


(Megjegyezzük, hogy a kódolásnál leginkább decimális számokat használunk. A kapott számsorozatot 
blokkokra tagoljuk és ezeket külön-külön titkosítjuk. Altalában olyan í hosszúságú blokkokat használunk, 
melyre teljesül a 10977" — n — 10" egyenlőség.) 


A titkosítás elvégzése után a fejtés problematikájával foglalkozunk. A következő tétel mutatja meg a fejtéshez 
vezető utat. 


8.1. Tétel. A fenti jelöléseket használva, teljesül a 
TI C" (mod n) 
I úr : íz T— C" (mod n) 
kongruencia. Ha a fejtés egyértelmű, akkor 1 b. 
A tételt Euler tételének felhasználásával bizonyítjuk. 


Bizonyítás. Az előzőekben definiált d választása miatt létezik olyan pozitív egész ], melyre 
az 


ed — jó(n) 41 

egyenlőség teljesül. 

Tegyük fel először, hogy sem F, sem d nem osztja ! -t. Euler tétele szerint érvényes a 
re 1 (mod n) 

kongruencia, amelyből a 

Test 21 (mod n) 

kifejezés adódik. Így teljesülnek a 

c" -(T"9"aT (mod n) 

kongruenciák. 

Ha P és § közül pontosan az egyik, mondjuk ?F osztja 1 -t, akkor 
TT! —-1 (mod g]. 

Ebből a 


réln — 1 (mod 4), ritín) — 1 (modg), T""-T (mod ag) 


bj 


kongruenciák érvényessége következik. Mivel az utolsó kongruencia nyilvánvalóan (mod p) 
is teljesül, így a Tétel állítását kapjuk. 


Hasonlóan bizonyítható az az eset, amikor mind P, mint § osztható f -vel. a 


Az általunk bizonyított tétel, tehát megmutatja, hogy ha titkosított szöveget d-edik hatványra emeljük, majd 
(mod n] redukáljuk, akkor a megfejtendő szöveget kapjuk. 
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Megjegyezzük, hogy a rendszer tervezésénél szükségünk van arra, hogy eldöntsük e és Ö(m) relatív prímségét. 
Ez Eulkideszi algoritmus használatával lineáris idő alatt sikerül. Másik feladatunk, meghatározni a értékét 
úgy, hogy az 


edz 1 (mod álni) 


kongruencia teljesüljön. Könnyű látni, hogy ilyen - fejtési kitevő létezik. Mivel (e, é(n)) — l így léteznek 
olyan olyan fa és Ya egészek, hogy 


erg t éln]ya — 1. 

Ebből az egyenletből azt kapjuk, hogy 

erg s 1 (mod óln]) 

azaz En éppen az általunk keresett d értékének felel meg. 

Egy egyszerű példán megmutatjuk hogyan is működik az RSA. Válassza Alice a P— 11 és g— 25 
prímszámokat, ekkor a modulusa n — 253-nak adódik, esetünkben (n )—-1p— 1)(g — 1) — 220. Legyen 
e — 17 a titkosítási kitevő, amiből meghatározható a - — 1-3 fejtési kitevő. 

Bob hasonló választásai a következők P — 13,9g — 13 így n — 247, illetve ó(n) — 216,€ — 65é5 3 — 113. 


Képzeljük el, hogy Alice el szeretne küldeni egy üzenetet, jelen esetben ez a TITOK szó, Bobnak. Alkalmazza 
minden betűre az RSA ismert módszerét, azaz meghatározza a 


C—-(1" (mod n)) 


kifejezés értékét. A T betű ASCII kódja 84, Bob publikus titkosító kulcsa 65, még modulusa 247, ami szintén 
publikus. Így Alice kiszámítja a 


8479 — 145 (mod 247) 


értéket, és T titkosított képe 145-nek adódik. Hasonlóan járunk el minden betű esetén. Az eredményeket a 
következő táblázat részletezi. 


ASCII kód 


-d 
ÉT 
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Most, hogy a módszer bemutattuk, felmerül a kérdés, hogy mit publikálunk belőle és mi az, amit titokban kell 


tartanunk. Az  — modulust és az titkosítási kitevőt publikálhatjuk ennél a rendszernél. A ÉS 
számok képezik a titkos csapóajtót, amely azt jelenti, hogy bármelyiknek az ismerete feltöri a módszert. 


Az RSA algoritmust szabadalom védte az USA-ban egészen 2000-ig. Ma már bárki készíthet licenszdíj fizetése 
nélkül RSA algoritmust használó hardver, illetve szoftvereszközt. Philioh R. Zimmermann által kifejlesztett 
PGP (Pretty Good Privacy) mindenki által használható titkosságot biztosító eszköz, amely felhasználja az RSA 
által nyújtott lehetőségeket (lásd [17], http://www.pgpi.org)/) . 


Az RSA biztonságosan megvalósítja Diffie és Hellman álmát a kulcscserét 15, mivel az algoritmusban e és d 
szerepe felcserélhető. Az RSA napjaink legismertebb aszimmetrikus kriptográfiai módszere, amely a DES-hez 
hasonlóan blokkos titkosító. 


Gyakorlati alkalmazásra jelenleg az 1024 — 3072 bites modulusokat tekintjük biztonságosnak. Ha az RSA 
kulcsainak hosszáról beszélünk, akkor ez alatt mindig n hosszát értjük. A biztonság érdekében ajánlott közel 
azonos méretű prímszámokból előállítani a kulcsot. További, gyakorlati szempontból lényeges dolgot a 
következő fejezetben tárgyalunk. 


Lényeges megjegyezni, hogy az RSA feltörhető, amennyiben az n számot faktoraira tudjuk bontani. Ezt 
természetesen meg 1s tudjuk tenni, csak elegendő idő és számítási kapacitás kell hozzá, ami a jelenlegi 
matematikai ismereteink és számítási kapacitásaink mellett olyan óriási igény, ami nem teszi lehetővé ésszerű 
időkorlátok mellett a fejtést. 


Érdekességként említjük meg, hogy Az 1977-ben az RSA bejelentése után Martin Gardner, amerikai 
matematikus és népszerű tudományt népszerűsítő művek szerzője, a Scientific American című folyóirat általa 
vezetett Matematikai játékok rovatában közzétette , Egy új-fajta sifrírozás, amelynek feltöréséhez évmilliók 
kellenek" című cikket. 


Martin Gardner 





Ebben elmagyarázta az olvasóknak a nyilvános kulcsú titkosírás működését és közölt egy n modulust, amellyel 
egy szöveget titkosított. Esetében n —114 381 625 757 888 867 669 235 779 976 146 612 010 218 296 721 242 
362 562 561 842 935 706 935 245 733 897 830 597 123 563 958 705 058 989 075 147 599 290 026 879 543 
541. 


A feladat az volt, hogy az olvasók faktorizálják r1-et és fejtsék meg a szöveget. Száz dollár díjat ajánlott az első 
megfejtőnek. Gardner azt ajánlotta, hogy az RSA megértése érdekében forduljanak az MIT számítástechnikai 
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laboratóriumához. El tudjuk képzelni Rivest, Shamir és Adleman meglepetését, amikor több mint háromezer 
levél érkezett hozzájuk. 


Gardner feladatát csak tizenhét év múlva oldották meg. 1994. április 26-án egy hatszáz önkéntesből álló csoport 
bejelentette, hogy az N faktorai a következők, d — 3 490 529 510 847 650 949 147 849 619 903 898 133 417 
764 638 493 387 843 990 820 577, és P — 32 769 132 993 266 709 549 961 988 190 834 461 413 177 642 967 
992 942 539 798 299 533. 


A történet teljességéhez hozzátartozik, hogy a megfejtett szöveg a következő volt: , The magic words are 
sgueamish ossifrage." (A varázsszó finnyás fakó-keselyű.) 


A faktorizációs feladatot megosztották a számítógéphálózaton, minden szabadkapacitást kihasználva. 
Megjegyezzük, hogy a Mersenne prímeket ma 15 hasonló módon keresik a kíváncsiak. 


A 17 év elég rövid időnek tűnik, de látnunk kell, hogy Gardner problémájában csak egy 10" nagyságrendű 
modulust használtunk, ami sokkal kisebb a mostanában ajánlott modulusoknál, amelyeknél milliárd években 
kell gondolkodnunk. 


Természetesen ez csak egy kedves történet, nem bankokról vagy hadititkokról van benne szó, de Jól illusztrálja 
azt a megjegyzésünket, hogy mit 15 jelent az időkorlát. 


A betolakodónak az RSA feltöréshez szüksége lenne egy gyors faktorizáló eljárásra. Ez egyelőre nem áll 
rendelkezésünkre. A módszer jól működik, bár elég bizonytalan lábakon áll abban az értelemben, hogy nincs 
bizonyítva, hogy nem létezik polinomiális idejű faktorizáló algoritmus. Sőt az sincs bizonyítva, hogy nincs 
olyan módszer, amely feltöri az RSA-t, de nem faktorizáció segítségével. 


Az hogy a titkosítási és fejtési kulcs felcserélhető, lehetővé teszi, hogy a Diffie és Hellman által kigondolt 
módszert realizáljuk. Tegyük fel, hogy Alice és Bob akar közös kulcsot választani, ehhez nyilvánosan 
megegyeznek egy n modulus és egy § generátor elem választásában, amelyek 195-512 bit hosszúak. A 
generátor elem fogalom azt jelenti, hogy az m-nél kisebb számoknak elő kell állniuk § " mod n alakban. 
Ezután mindketten választanak egy-egy n — 1-től kisebb véletlen számot, amelyeket titokban tartanak, legyenek 
ezek Tt; y. Ezután a következő lépések történnek: 


jő 

Alice elküldi Bobnak a Fi — (97, (mod n) ) értéket, 
PA 

Bob válaszában a ka — [g7, (mod n))t küldi vissza, 
3. 

Alice kiszámolja fs — (g", (mod n]))" (mod n]) 
4. 

Bob kiszámolja fa — (97, (mod n]))" (mod n] 
5. 


A közös kulcsuk a (g Ta (mod Ti ) ]. 


Tudjuk, hogy az a" ey egyenletet a valós számok körében a logarimus függvény felhasználásával meg tudjuk 
oldani. Egészen más a helyzet az RSA bemutatásánál megismert moduláris hatványozásnál. A művelet 
elvégzése után csekély esélyünk van az alapban lévő szám megtalálására. 


Általánosabban megfogalmazva a fenti okfejtést a következőket mondjuk. Legyen § és § egy-egy eleme a(r 
véges csoportnak. Ekkor bármely olyan z € G elemet, melyre érvényes az 8" — 4Y egyenlőség, az Y diszkrét 
logaritmusának nevezzük a § alapra nézve. Nyilvánvaló, hogy minden Y £ 6" elemnek akkor és csak akkor van 
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diszkrét logaritmusa a § alapra nézve, ha (s ciklikus csoport és § egy generátor eleme. A diszkrét logaritmus 
probléma az előzőekben ismertetett NP osztályhoz tartozik. 


Az előzőekben megismert Diffie-Hellman módszer egy módosított változata az ElGamal módszer, melyet 1984- 
ben Taher Elgmal egyiptomi kriptográfus publikált. 


Legyen § és az F"(a)g generátora minden fél számára ismert. Ekkor minden A felhasználó titkosan választ egy 
02 ma4 -g— l egészt és publikálja d" "-t (ami, mint tudjuk egy eleme FF (d nak). 

Fk s ng ETT A 
Amennyiben egy w üzenetet kívánunk küldeni A-nak, azt a következő formában küldjük el ld : 19 úi "), ahol 
k egy tetszőleges, a küldő által választott, pozitív egész. Nyilvánvaló, hogy a diszkrét logaritmus probléma 
nehézsége miatt az illegális betolakodó nem juthat értékes információhoz. Az üzenetet megkapó A, viszont ki 


tudja számolni § "A értéket, amelynek felhasználásával iv könnyedén adódik. 


Az RSA felfedezése komoly fegyvertény, az emberi gondolkodás és közös munka egy szép eredménye. 
Ugyanakkor történetében 15 érdekes dolog. A teljesség kedvéért megemlítenénk, hogy a brit kormány szerint a 
nyilvános kulcsú kriptográfiát Cheltenhamben, a Government Communications Headguartersben (CGCH), a 
második világháború után létrehozott, szigorúan titkos intézményben találták ki először. 


Utólag tudjuk, hogy brit tudósok, James Ellis, Clifford Cocks és Malcolm Williamson 1975-re a nyilvános 
kulcsú kriptográfia összes alapvető tételét kidolgozta, de hallgatniuk kellett róla. A nyilvános, feltáró előadásra 
csak 1997-ben kerülhetett sor. A feltalálók közül csak ketten vehettek részt az előadáson, mert James Ellis egy 
hónappal előtte meghalt. 


Az események jól szemléltetik, hogy a tudományok egy nagyon egzotikus határán járunk, ahol az új 
felfedezéseket igyekszenek titokban tartani, mert a titkos tudás lépéselőnyt jelent sok szempontból az adott 
kormány számára. Az emberi sorsok, sajnos ezekben az esetekben másodlagos szemponttá válnak. 


2. Gyakorlati megjegyzések 


Először í15 szembe kell néznünk azzal, hogy 100 jegyű prímeket kell keresnünk, ami a keresés és a prímség 
eldöntésének problematikáját is jelenti. A nagy prímek keresése jelenleg 1s folyik és az 15 lehetséges, hogy nem 
15 publikálják a titkosítás miatt. 


A keresés úgy folyik, hogy véletlenszerűen választunk egy megfelelő méretű (a jelenlegi problémánál 100 
jegyű) páratlan számot, majd valamely prímteszt segítségével, amelyeket a következő részben ismertetünk, 
eldöntjük, hogy az illető természetes szám prím-e vagy sem. Nemleges válasz esetén a rákövetkező páratlan 
szám vizsgálatával foglalkozunk. 


A Prímszám tétel szerint körülbelül 
10190 / In 10190 Ml 10" / In 10" 


100 jegyű prím van. Ebből az következik, hogy egy tetszőlegesen választott páratlan szám esetén a sikeres teszt 
megvalósulásának valószínűsége 0,00868. 


A következő probléma a d kiválasztása. Amikor P és § kiválasztása megtörtént a d szám kiválasztása 
következik. Fontos, hogy d ne legyen túl kicsi, hisz akkor könnyen megtalálható és ez a feltöréshez vezet. A 
kiválasztott d számot az Euklideszi algoritmussal teszteljük. Amennyiben jól választottunk d kielégíti a 
id, élnj) —1 feltételt, akkor megtaláltuk a megfelelőt és az Euklideszi algoritmus egyenleteiből a szükséges e 
szám rögtön leolvasható. 


Mind a titkosításhoz, mind a fejtéshez szükségünk van az la" (mod n)) típusú kifejezés meghatározására. Ezt 
sokkal gyorsabban elvégezhetjük, ha az a önmagával való beszorzása és az utána következő redukálás helyett az 
úgynevezett szukcesszív négyzetreemelések módszerét követjük és minden művelet után a kapott számot 
redukáljuk modulo ri. 


8 s 
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(s — d. z2, rTj—0O 1; k— [/ogar][7 1. 


Ismételt négyzetreemelések elvégzésével könnyen meghatározhatjuk az 
ta (mod n]), 0Z£jEk 


f T Ú iz li r .. iga r , r r , r r r r 
értékeket. Ebből a számunkra szükséges 8 modn)] kifejezés könnyen kiszámítható. A számítás elvégzéséhez 
legfeljebb k — 1 szorzás és redukció elvégzése szükséges. 


mög j 1 si § r r r r 
Lássunk egy példát a szukcesszív négyzetreemelésre. Határozzuk meg a / (mod 61) kifejezés értékét. 
Fermat tételéből következik, hogy 


7"z1 (mod 61]. 


T gi r , ba mia f j 8 bel r r r r , r F 
Így számunkra elegendő kiszámítani a ! (mod 61) kifejezés értékét. A szukcesszív négyzetreemeléshez 


előre legyártjuk a 7 azon hatványait, ahol a kitevő 27 alakú és a végeredmény (mod 61) vesszük. Az 
eredményeket egy táblázatban összegezzük: 





Ekkor a kívánt eredményt a következő egyszerű számítással kapjuk meg, amennyiben tudjuk, hogy a 23 kettes 
számrendszerbeli alakja 10111 


779 (mod 61) — (16(22(49 - 7)) (mod 61)) — 17. 


Nézzük meg hogyan működik ez titkosítás közben. Kódoljuk a betűket a sorszámukkal, eltérően az előzőektől, 
ahol ASCII kódot használtunk. Titkosítsuk az SA betűpárt, amelynek az 1901 szám felel meg, illetve az UN 
betűpárt, melynek a 2114 felel meg és tegyük fel, hogy a titkosítási kitevő 17. A következő táblázat mutatja a 
szukcesszív négyzetreemelés egymás után következő lépéseit: 
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hez al 





További odafigyelés szükséges, ha igényes, nehezen fejthető rendszert akarunk KSE AlOSMAR El kell 
kerülnünk, hogy P és d közel legyen , egymáshoz. Ha ugyanis P és §d közeliek, akkor (p— 9) /2 kicsi és 
(pg) /2 nem sokkal nagyobb, mint V TM Ráadásul a 


(pr gy (p—gy 
sv — na 
4 4 


egyenlőség baloldala teljes négyzet. Ennek segítségével n faktorizációját úgy valósíthatjuk meg, ha olyan T- 


eket tesztelünk amelyekre T — VT! és az eljárást addig folytatjuk, amíg r7 — n nem lesz teljes négyzet. Ha ezt 
a teljes négyzetet Y-nak nevezzük, akkor P—T ty és g— T— Y egyenlőségek megadják a keresett 
faktorizációt. 


A tervezésnél figyelnünk kell éln, ! viselkedésére is. Ha ugyanis P 7 1é59— 1 legnagyobb közös osztója nagy, 


akkor legkisebb közös többszörösük, jelöljük ezt u-val, kicsi óln) -hez képest. Ekkor e bármely inverze 
modulo u fejtési kitevőnek minősül. Ebben az esetben r- megtalálása sokkal könnyebb, így a rendszer 


megalkotásánál ügyelnünk kell arra, hogy (p—1,g— 1) ne legyen túl nagy. 


Az előzőekben említett problémák elkerülése véget általában úgynevezett erős prímeket használunk melyeknek 
a tulajdonságai a következők: 


1. 
a választott P prím nagy, legalább 400-500 bit hosszú 
PA 
p—-1 legnagyobb prímosztója nagy, 
58 
p— 2 legnagyobb prímosztója nagy, 
4. 


pt l legnagyobb prímosztója nagy. 
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Ugyanakkor R. Rivest és R. Silverman kutatásai [16] azt bizonyítják, hogy bizonyos új típusú faktorizációs 
eljárások (Lenstra elliptikus görbén alapuló eljárása) erős prímek esetén 15 hatásosak lehetnek. Tehát az erős 
prímek sem oldanak meg minden problémát, de ennek ellenére az RSA megbízható titkosságot biztosít 
napjainkban. 


A fejezetben gyakorlati kérdéseket tárgyalunk, ejtsünk néhány szót a mindennapi gyakorlatról 15. Bár a 
szukcesszív négyzetreemelés sokat gyorsít a kívánt matematikai műveletek végrehajtásán, az RSA gyorsasága 
továbbra sem megfelelő a hétköznapokban. 


Éppen ezért a gyakorlati megvalósítások során nem szokták az egész üzenetet nyilvános kulcsú algoritmussal 
kódolni, főleg akkor nem, ha az üzenet hosszú. Hanem hagyományos szimmetrikus algoritmusokból, amelyek 
sok százszor gyorsabbak, mint az RSA és nyilvános kulcsú megoldásokból álló, úgynevezett hibrid 
kriptorendszereket alkalmaznak. A szokásos eljárás az, hogy az üzenetet egy gyorsabb titkos kulcsú 
algoritmussal, az ehhez használt, véletlenszerűen generált, kulcsot pedig a nyilvános kulcsú módszerrel 
titkosítják, és a kettőt együtt küldik el. Az ilyen alkalmankénti, egyszer használt kulcsot viszonykulcsnak 
(session key) nevezzük. 


Természetesen a nyilvános kulcsú algoritmus ebben az esetben csak a kulcsot védi, tehát a kulcselosztásban 
segít. Ezért a hibrid rendszer megvalósításakor fontos figyelni a használt szimmetrikus algoritmusra, mert ha ez 
törhető, akkor hiába védtük erős módszerrel a kulcsunkat. 


3. Digitális aláírás 

A digitális aláírás egy nagyon gyakran használt fogalom mostanában, ugyanakkor kevesen értik, hogy pontosan 
mit 1s rejt ez a fogalom. A digitális aláírást többek közt azzal a céllal hozták létre, hogy kiváltsa a hagyományos 
kézzel írott aláírásokat, ugyanakkor megfeleljen a mai kor informatikai követelményeinek. Maga a digitális 
aláírás egy szám, ami erősen függ az aláíró fél privát kulcsától (ami szintén egy szám), az aláírandó üzenettől, 
valamint egyéb, nyilvános paraméterektől. Fontos szempont, hogy egy digitális aláírás verifikálható legyen, 
azaz egy elfogulatlan harmadik fél az aláíró fél privát kulcsa nélkül 15 kétségtelenül igazolhassa, hogy az aláírást 
valóban az adott entitás készítette. 


Az aszimetrikus kriptográfiai módszerek kiválóan alkalmazhatók digitális aláírás előállítására. Ebben az esetben 
minden félnek van egy privát és egy nyilvános kulcsa. Az aláíró fél mindvégig titokban tartja a privát kulcsát, 
azt soha, semmilyen körülmények közt nem hozza nyilvánosságra a saját biztonsága érdekében. Ezzel 
ellentétben, a nyilvános kulcsát közzéteheti bárki más számára. Sok esetben szükség 15 van erre, mert a 
nyilvános kulcs segítségével validálható egy digitális aláírás egy adott üzenetre és aláíró személyre 
vonatkozóan. 


Rendkívül fontos szempont, hogy amennyiben A megszerzi B digitális aláírását egy adott üzenetre vonatkozóan, 
akkor ezt felhasználva A ne legyen képes egyéb üzeneteket B aláírásával ellátni. 


A digitális aláírásnak manapság számos alkalmazási területe létezik. 
1. 


Az Adatintegritás (annak biztosítása, hogy az adatok nem lettek megváltoztatva megbízhatatlan felek által), 


Adatok forrásának verifikációja (annak bizonyítása, hogy az adatok valóban onnan származnak ahonnan 
kell), 


Megtagadás elleni védelem (annak biztosítása, hogy egy adott fél ne tudja letagadni az általa generált 
aláírásokat). 


A digitális aláírási sémák előállításánál felhasználhatjuk a most megismert RSA módszert, a diszkrét 
logaritmuson alapuló technikákat vagy a később megismerendő elliptikus görbéket. 


68 
XMLmind XSL-FO Converter 


Az RSA titkosítási rendszer 


Lássunk most egy RSA módszeren alapuló digitális aláírást. Ez a módszer igen egyszerű, messze nem a 
legbiztonságosabb; de jól megérthető a módszer lényege- Mafadvitk admái megismert Alice és Bob elnevezésű 


felekné. Alice a titkos kulcsával kiszámolja az € A értékét, ahol — az üzenetét jelenti. 
Ezután elküldi Bobnak, aki miután megkapta Alice nyilvános  —— kulcsával megfejti 


C"A (mod n) — (mfájráa (mod n) — m. 


Ha eredményül az üzenetet kapja meg, azaz m értelmes szöveg, biztos lehet benne, hogy az üzenet Alicetól jött. 
Itt titkosítás nem történik, hiszen a nyilvános kulcs ismeretében bárki megfejtheti az üzenetet. 


Az üzenet teljes titkosítása nyilvános kulcsú módszerekkel elég problémás, hiszen ez olykor nagyon időigényes. 
Még a különböző gyorsítási módszerekkel 15 meglehetősen lassú az RSA. Emiatt nem az egész üzenetet szokás 
titkosítani, hanem annak csak egy egyedi kivonatát. Ezt a kivonatot üzenetpecsétnek nevezzük (message digest, 
MD). Ezek közül a legismertebbek az SHA-1] vagy MD5. Ezek nagyon egzotikus algoritmusok, arra képesek, 
hogy tetszőleges hosszúságú bitsorozatból egy fix hosszúságú bitsorozatot ad. (Ennek hossza SHA-I1 esetén 160 
bit, MD5 esetén 128 bit). Ez a viszonylag rövid bitsorozat képviseli a továbbiakban a dokumentum tartalmát. 


Ebben az esetben az aláírás folyamata a következőképpen alakul. Kiszámoljuk az 7 — (MD(m))" (mod n) 
úgynevezett ellenőrző összeget és elküldjük az ím, üi ! párt, így gyorsítva az aláírás folyamatát. Megjegyezzük, 
hogy az te,n) pár publikus, tehát felhasználható az ellenőrzésre. 


4. Feladatok 


1. 
Legyenek P — 2603 és g — 3025 adott prímek. Határozzuk meg az RSA használatához szükséges többi 
paramétert! 

2 
Határozzuk meg 2109" (mod 2773) értékét a megismert szukcesszív négyzetreemelés segítségével! 

A: 
Legyenek n — 2773 és e — Lf, titkosítsuk a SZAUNA szót, a kódoláshoz használjuk a betűk abc-ben 
elfoglalt helyének sorszámát. (Például S helyett 19, A helyett 01 szerepel) 

4. 
Határozzuk meg az eredeti két betűt, ha a titkosított szöveg 1281. Azt tudjuk, hogy e — LT, n — 2773 és 
éln) — 2668 

5. 


Tegyük fel, hogy elrontottuk m választását, amely nem két, hanem három prím szorzata, n — 7 : 13 : 19. 
Határozzuk meg az RSA működtetéséhez szükséges paramétereket és nézzük meg milyen d esetén tudjuk 
fejteni a szöveget. 


69 
XMLmind XSL-FO Conrverter 


9. fejezet - Prímtesztek és 
faktorizációs eljárások 
1. Priímtesztek 


Az előzőekben láthattuk, hogy a módszer jósága két nagy prím megfelelő megválasztásán múlik. Nem tudunk 
azonban olyan algoritmust, amely tetszőleges pozitív egész esetén polinomiális időn belül el tudja dönteni, hogy 
az illető szám prím-e vagy sem. Szükségünk lenne tehát egy olyan algoritmusra, amely nagyon kis 
valószínűséggel hibázik. Nyilvánvalóan egy matematikus sem örül annak, ha egy szám , nagy valószínűséggel 
prím", de ezekben az esetekben érdemes más prímtesztek használata, esetleg többlet gépidő bevetése a cél 
érdekében. 


Mielőtt nekilátnánk a prímtesztelésnek néhány számot előre érdemes kizárni, jelesül azokat, amelyeket 
nyilvánvalóan tudunk, hogy nem prímek. Ilyen könnyen ellenőrizhető módszer van az A halmaz elemeivel való 
osztásnál, ahol A — 235 illetve könnyen kizárhatók a négyzetszámok is. Általában néhány előre rögzített 
prímmel való osztást 1s tesztelünk, mielőtt a módszereket elkezdjük alkalmazni. Az előzetes szűrésre azért van 
szükség, mert a következő teszteknek erőteljes erőforrás szükségletük van. 


1.1. Euler-Fermat tételen alapuló priímteszt 


A matematikai részben ismertetett Euler—Fermat tétel egy triviális következménye, hogy ha lw,m) — lés 
wet 1 (mod m), 
akkor az m szám összetett. 


Ez megfelelne prímtesztnek, hiszen csak a kongruencia igaz vagy hamis volta eldöntené a prímség 
problematikáját. Az a probléma azonban, hogy vannak olyan összetett számok 15 amelyek átmennek a teszten. 


Tetszőleges 1w-hez létezik olyan mi összetett szám van, melyre teljesül, hogy iw,m) — lés 
wet zs 1 (mod m) 
kongruencia teljesül. Ezeket az rn számokat ww alapú pszeudoprímeknek nevezzük. 


Ilyen például a 91, amely 3 alapú pszeudoprím, ugyanis könnyen belátható, hogy 35 zs 1 (mad 91), 
ugyanakkor 31 — 3 : 17. 


A következő tétel a bevezetőben említett valószínűségi állítást tartalmazza. Ha valamely 1w-re teljesül a teszt, 
akkor azt mondjuk, hogy 14 tanúskodik rn. prímsége mellett. 


9.1. Tétel. Az összes vagy legfeljebb a fele az olyan u egészeknek, melyre 
1 €£w armn (wm)-l, 
tanúskodik mn prímsége mellett. 

Erre a tételre már alapozhatunk egy egyszerű prímkereső módszert. 


Először az adott rn-hez véletlenszerűen választunk egy iv egészt, melyre 158 w zm. Ezután Euklideszi 


algoritmussal meghatározzuk 1 és rn legnagyobb közös osztóját. Ha (w,m) 2 l akkor m összetett. Ha nem 
teljesül az egyenlőtlenség, akkor nekiláthatunk a tesztelésnek. 


. , pr." — irt — 1 j gr 41 . . , , , , § Er , .. s 
Kiszámítjuk az § — (10 , mod m)J) kifejezés értékét. Ha 4 £ l akkor az m szám összetett. Ha u — 1, 


akkor 1 tanúskodik mn prímsége mellett. 
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Ha találunk k tanút, akkor annak valószínűsége, hogy m:összetett legfeljebb 27", kivéve azt a 9.1 Tételben 
említett szerencsétlen esetet, amikor 1s az összes választott " tanú lesz, ugyanakkor a szám mégis összetett. 


Az ilyen prímeket Carmichael-számoknak nevezzük. A legkisebb ilyen tulajdonságú szám az 561 — 3: IL: 17. 
W. R. Alford, A. Granville és C. Pomerance (lásd[2]) igazolta, hogy a pszeudoprímekhez hasonlóan ezek 1s 
végtelen sokan vannak. Ha az n szám Carmichael-szám, akkor n négyzetmentes, van legalább három 


prímfaktora, illetve ha F egy prímosztója, akkor F 7 1 osztója n — 1-nek. Láthatjuk, hogy ez a módszer további 
finomításra szorul. 


1.2. Solovay-Strassen prímteszt 
A továbbiak megértéséhez néhány matematikai fogalmat kell megismernünk. A Legendre-szimbólumot, melyet 


E 
Pp sei jelölünk, tetszőleges a egész és P páratlan prímszám esetében, a következőképpen értelmezzük: 


— 4 1,  haa f0 (modp) és ir E 4. a z r (moc 
—1, haa Á0 (mod p) és Are Z mel; 


0, ha a 0 (mod p) 
5) 3 KN ] 
B 


er 
ci 
hi 
ír 
És 
B 
a 
ÉL 

nm 


aj —1 . 
Ha ( p ) akkor a-t kvadratikus maradéknak Hégezzükt mod p], 


A Legendre-szimbólum segítségével definiálhatjuk a számunkra fontos Jacobi-szimbólumot. Legyen? £ Tés 
— mól nő2 , . Bi 
n7 pi pa """k , ekkor 


5-6 B-ről 


9.2. Tétel. Ha m. páratlan prím, akkor minden 1w esetén 
rr— 1 Le ; § 
u 3 (7) (mod m)]. 
TTI I 
Az előzőekben említett pszeudoprímnek itt 15 van megfelelője. Ha egy m összetett szám kielégíti az előző 
kongruenciát valamely rn-hez relatív prím w esetén, akkor Euler pszeudoprímnek nevezzük. 


9.3. Tétel. Ha egy m szám Euler pszeudoprím a w alapra nézve, akkor pszeudoprím 15 a 10 
alapra nézve. 


Ez a prímteszt mégis egy , erősebb" prímteszt, ugyanis a Carmichael-számnak nincsen megfelelője, azaz 
érvényes a következő tétel. 


9.4. Tétel. Ha m egy páratlan összetett szám, akkor legfeljebb a fele a w egészeknek, 
melyekre l 7 av am éslw,m) — 1 , elégíti ki az előző 9.2. Tételben szereplő kongruenciát. 


Az előző részben ismertetett algoritmussal megegyező lépésekkel itt egy jól használható algoritmushoz jutunk. 
Ha k számú 1 tanúskodik m prímsége mellett, akkor legfeljebb 27" annak valószínűsége, hogy mm nem prím. 
Ezen becslést nem lehet tovább javítani, ugyanis létezik olyan rn egész, amely az alapok felére nézve Euler 
pszeudoprím. 


Az így felépített prímtesztet Solovay-Strassen tesztnek nevezzük. 


További előnyét jelenti a módszernek, hogy a kongruenciában szereplő Jacobi szimbólumok a következő tétel 
segítségével könnyen meghatározhatók. 


Tétel. (Gauss kvadratikus reciprocitási tétele). Ha F és d egymástól különböző páratlan 
prímek, akkor 


9909-es 
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1.3. Miller-Rabin prímteszt 


A fentebb említett prímtesztelő algoritmusok nagyon lassan segítik csak a munkánkat. A következő, 
prímszámokra vonatkozó tétel egy gyakorlatban jobban használható módszert ad a kezünkbe. 


9.5. Tétel. Legyen P egy páratlan prím és Pp — l — 27T ahol r páratlan. Ha (an) — lés 
l Ta -nakkor 


7 2! ; .. 
a 51í(ímodn]) vagy ág " S—Ii (mod n] 


teljesül valamely 0 — 5" — 8. 
A 9.5. Tételre alapozott tesztet Miller-Rabin prímtesztnek nevezzük és a következőkben részletezzük. 


Előkészítő lépések 
Választunk egy tetszőleges r páratlan számot és egy I 7 a — n természetes számot. Ha lan) 1 , akkor 
n összetett, ha (4. n)—1 , akkor előállítjuk (7 — 1 et a következő alakban n — 1 — 27r, ahol r páratlan. 


Szukcesszív gyökvonás 


a a 8 B 
Teszteljük az 8 "El (modn) kongruencia teljesülését (ami egy Fermat tesztlépésnek is felfogható), 
majd , szukcesszív gyökvonások" sorozatába kezdünk. 


Teszt 
Az első gyökvonás után három lehetőség van. 


as 1 B B v a 
e Haf "A dlímodn ], akkor n. összetett. 


8—1. a ő ú 
. Had? "EI (modn J, akkor tovább folytatjuk a gyökvonást. 
3-1 B a jú; 
. Had? "5—Il (mod n) teljesül, akkor azt mondjuk, hogy a tanúskodik n. prímsége mellett. 
További gyökvonások 


Amíg az előző algoritmus folytatása lehetséges további gyökvonásokat végzünk. 


Teszt vége i 
Végül, ha a gyökvonások végén a" Z1 (mod n) kongruencia teljesül, akkor is azt mondjuk, hogy a 
tanúskodik n prímsége mellett. 


Ha egy összetett szám , átmegy" az előző teszt lépéseken, akkor azt erős pszeudoprímnek nevezzük. 


9.6. Tétel. Ha egy n szám erős pszeudoprím az a alapra nézve, akkor Euler pszeudoprím 15 
az a alapra nézve. 


Az előzőektől eltérő módon, egy mi összetett szám esetén, a Miller-Rabin prímtesztben választható a értékek 


Lak 
legfeljebb az 1/4.e tanúskodik n prímsége mellett. Ez azt jelenti, hogy k teszt elvégzése után ha 1) annak 
valószínűsége, hogy nem prímre leltünk. 


Megemlítjük, hogy n 7 25103 esetében egyetlen összetett szám sem megy át a Miller-Rabin prímteszten, ha a 
12,5,7,13 1 halmaz elemeit, mint választandó a értékeket végigpróbáljuk. 


1.4. AKS algoritmus 


Az algoritmus egy determinisztikus prímteszt, melyet 3 indiai matematikus, Manindra Agrawal, Neeraj Kayal és 
Nitin Saxena 2002-ben, majd 2004-ben újra publikált (lásd [1]). Az első olyan eljárás, amely determinisztikus, 
futási ideje polinomiális és nem alapszik semmilyen hipotézisre. A megjelenést követően Lenstra és Pomerance 
2005-ben (lásd [9]]) megjelent dolgozatában tovább Javította eredeti algoritmus futási idejét. 


Az algoritmus implementálása azóta 15 számos nyitott kérdést rejt magában. Az algoritmus egy régóta ismert 
azonosságra épül, mely szerint az n szám akkor és csakis akkor prím, ha fennáll a következő összefüggés 
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" — (gt — a) (mod n), 


(zt — a) 
ahol a maradékos osztást a polinom együtthatóin kell elvégezni. 
A könnyebb érthetőség kedvéért mutatunk egy egyszerű példát. 

9.7. Példa. Igazoljuk, hogy az 5 prímszám! 

Ekkor 

(z — ie 3 3 59 3 107? 3 107" 3 5r3t1E (7 — 1) (mod 5], 


a polinom minden együtthatójának 5-tel való osztási maradéka 0, kivéve az első és utolsó 
együtthatókat. 


A tétel értelmezéséhez szükség van az rend fogalmára. 


9.8. Definíció. Valamely r természetes szám esetében azt a legkisebb t természetes számot, 
melyre az 


n -1 (mod r] 
kongruencia teljesül az n elem rendjének nevezzük és OT r (nel jelöljük. 

Az AKS módszer a következő tételen alapszik. 
9.9. Tétel. — Adott "! 2 2 szám esetében legyen r egy pozitív egész és Tán és 
ord,(n) 5 logy(n). Az n szám akkor és csakis akkor prím, ha teljesülnek az alábbi 
feltételek: 


1. 


n nem teljes hatvány, 


n-nek nincs r-nél kisebb vagy vele egyenlő priímtényezője, 


Tt — 
(— a)" Sz —a (mod a —1,n) , bármely a egész szám esetében, ahol 


l1€£az vrlogn. 


A tételben szereplő (zt —aj" sa 


adott polinomok :xr" — 1 polinommal való osztási maradékát, majd az együtthatókatl, mod n) vesszük. 


— a (mod xz — 1,n ) kongruencia azt Jelenti, hogy meghatározzuk az 


2. Egész számok faktorizációja 


Az általunk megismert RSA módszer azon alapszik, hogy az egész számok faktorizációja nehéz matematikai 
feladatnak számít, azaz nem ismert hatékony algoritmus ezen faktorok meghatározására. Ebben a fejezetben 
néhány olyan algoritmust mutatunk meg, amivel van esélyünk a faktorizációra. Ez másképpen azt 1s jelenti, 
hogy az RSA tervezőinek figyelnie kell a rendszer kidolgozásánál e lehetséges törési lehetőségekre. 


2.1. Fermat-féle faktorizáció 


Elsőként olyan esetet tekintünk, ami azokban az esetekben használatos, amikor a faktorizálandó n számot 
felírhatjuk két négyzetszám különbségeként, és az egyik négyzetszám kics1. 
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9.10. Tétel. Legyen n egy pozitív páratlan egész. Ekkor létezikakötcsömötsen egyéttelnmű 
hozzárendelés az természetes számt alakú faktorizációja, ahol s ÉS 
alakban való felírása között, ahol és nem negatív egészek. 


Bizonyítás. — A tétel egyik irányú állítása nyilvánvalóan következik, az nm következő 
felírásából: 


EI Égi 
n — ab — — j 
A A 


Megfordítva, az 








n — tt — s? — (tt s)(t— 5) 
egyenlőségből következik az állítás. a 


—- bh — 
Ha n — ab és a és b közel vannak egymáshoz, akkor Hm , kicsi", így t közel van v"!-hez. Nyilvánvaló, hogy a 


, kicst" jelző nem túlságosan jól definiált, és szokatlan 15 a matematikai irodalomban, de néhány próbálkozás 
után jól érthető a fogalom. 


Azaz t megtalálásához a próbálkozást a [ni] tl esettel kezdjük, majd egyesevél növeljük a számokat, és 
közben figyeljük, hogy mikor teljesül a t? — n — 57 egyenlőség. Egy példán keresztül még érthetőbb lesz a 
módszerünk. 


9.11. Példa. Faktorizáljuk a 200819-et! 


Esetünkben a [200819] t 1 — 449. Ekkor 4497 — 200819 — 182, amely nem teljes 


négyzet. A  — következő próbálkozásunk a t£-—d530 eset, amikor is 
4507 — 200819 — 1681 — 417. Ekkor sikerült felbontani a faktorizálandó számot két 
négyzetszám különbségére és így 


200819 — 4502 — 41? — (450 -k 41)(450 — 41) — 491 . 409. 


Nyilvánvaló tehát, hogy az RSA tervezésénél nem érdemes túl közeli prímszámokból kundulni. A Fermat-féle 
módszer egy módosított változata, azonban ilyen esetekben 1s segíthet. 


Ebben az esetben válasszunk egy kis k értéket és válasszuk f-t a következőknek, ikn] - 1. [en] ÉN z kn] 3 
...A t választása után vizsgáljuk meg at? — kn — 57 egyenlőség teljesülését. Ekkor (tb sJ(t—s)— kn es 
így t4 5-nek van nem triviális közös osztója ri-el, azaz a itt s,n) meghatározása megadja a kívánt 
végeredményt. Mint az előzőekből már kiderült az Euklidészi algoritmus ezt az eredményt könnyen megadja. 


9.12. Példa. Faktorizáljuk a 141467-et! 


Gyorsan kiderül, hogy az alapmódszerrel nem jutunk gyorsan célba, hiszen a 377-el kell 
kezdenünk a próbálkozást. 


Legyen most k— 3 és próbálkozzunk a [v8n] 4 1 ; v3n] 42... értékekkel, azaz 
t — 652,053, . . . Rövid próbálkozás után azt kapjuk, hogy 


6557 — 3 - 141467 — 687, 


Ezek után az Euklidészi algoritmussal kiszámítjuk, hogy (655 - 68,141467) — 241. A 
l4l467 — 241 : 587 egyenlőség adja a feladat megoldását. 


Figyelmesen megnézve az eredményt azt látjuk, hogy az egyik faktor a másik háromszorosa, 
ami indokolhatja a k — 43 választás jogosságát. 


Az előző módszereknek megadható egy általánosítása 15. Ha bármely faktorizációs problémánál meg tudunk 
adni egy 
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tt gy? (mod n] 


kongruenciát, ahol tÁts (modn ), akkor azonnal meg tudjuk adni n egy faktorát a (4-4 s,n) vagy a 
t — 5, n] kiszámításával. 


2.2. Pollard-féle " heurisztikus módszer 


A címben említett módszert John Pollard publikálta 1975-ben [13]. Egy tetszőleges egész szám prímosztóinak a 
meghatározására lehet alkalmazni, ahol az egész szám nem lehet prímhatvány, a prímosztók pedig lehetőleg 
kicsik kell, hogy legyenek. 


Az algoritmus, amelyet Monte-Carlo módszernek 1s neveznek, a következőképpen működik, feltételezve, hogy 
egy n szám prímosztótt szeretnénk meghatározni, 


e választunk egy egész együtthatós polinomot, amely lehetőleg elég egyszerű legyen a további számolásokhoz 


(például az f (r— 7-1 ilyen választásnak bizonyul), 
e választunk egy To kezdőpontot vagy véletlenszerűen generálunk egyet (például Ta — l vagy Ta — 2. 
e a következő iterációkat számoljuk ki, 

ri — firaj (mod n]), ra — fifíra)) (mod n), ... 

azaz Tisia — fir] f(modn) j3— 1.2, . . . 


" az T; értékeket összehasonlítjuk, és olyanokat keresünk, amelyek különböző osztályokba tartoznak mod n ), 
de ugyanabbal mod T) Azaz teszteljük az ÍTi — Ti. 1] értékeket mindaddig, amíg n valódi osztóját nem 
kapjuk. 


Megjegyezzük, hogy bizonyos számú iteráció elvégzése után után ismétlődést fogunk tapasztalni. 


Az polinomról feltételezzük , hogy zinz önmagára való leképezését eléggé , véletlenszerűen" végzi, azaz 
lehetőleg minden maradék előforduljon változatos sorrendben. Egy példán illusztráljuk az eddigieket. 


9.13. Példa. Faktorizáljuk az 1387-et a Pollard-féle / módszer segítségével! 


Használjuk az J ([r]—r7—1 polinomot és az Ta — 2 pontot. Az iterációk elvégzését a 
következő táblázat tartalmazza. Figyeljük meg, hogy a 17-edik iteráció elvégzése után 
visszakapjuk az YG pontot, azaz ezt a ciklust fogja ezek után az iteráció ismételni. Az 
önmagába záródó furcsa hurokról kapta a ?-módszer nevet a módszer. 
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Az Ír — T4,n) — (177 — 63,1387) — 19 egyenlőségből kapjuk, hogy 1387 egyik faktora 
19, így az l387 — 138 :- 73 egyenlőség adódik. 
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(177—63,1387) - 


1397/7219 /3 





Nyilvánvalóan érdekes számunkra, hogy meddig kell keresnünk az (7; — Tj,n]) értékek között, amíg egy nem 
triviális eredményt kapunk. Amennyiben r egy nem triviális osztója ri-nek, az érdekel bennünket, hogy 


tekintetbe véve ÍZ / n2 összes önmagára való leképezését és az összes lehetséges Ta értéket, átlagban hányadik 1 
értékhez van olyan J, úgy, hogy Ti — Tj (mod r), Úgyis feltehetjük a kérdést, hogy hányadik iterációtól 
kezdődik el a fentebb említett ismétlődés. N. Koblitz ezzel kapcsolatban a következőt igazolta [7]. 


9.14. Tétel. Legyen § egy r-elemű halmaz, az f leképezés 5-nek önmagára való leképezése 
és To ES . Tekintsük az Tiri — f(x) i— 012, ... iterációt, legyen A 7 Ü egy 
tetszőleges valós szám és 1—1-t [v 2Ar], Ekkor azon Í, To párok aránya, amelyre az 
To, T1, . . . Ti különböző és ahol f befutja 5 önmagára való összes kölcsönösen egyértelmű 
leképezését és To felveszi § összes lehetséges értékét, kisebb, mint e. 


2.3. A kvadratikus szita módszere 


A kvadratikus szita módszerét Carl Pomerance publikálta először (lásd [15]). 


Carl Pomerance 





Az egyik leggyorsabb faktorizációs algoritmusnak számít. A faktorizálandó n számra egyetlen kitétel van, 


mégpedig az, hogy egyik prímosztója se legyen nagyobb, mint vn Az algoritmus megkeresi azokat az mr és 4 
egész számokat, melyekre fennállnak a következők: 
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Tr s y! (mod n), 
rTzZy (mod n), 


r-(—y) (mod n). 
Az így kapott m és Y értékekből kapjuk n egy faktorát az (T — y,n]) kiszámításával. 


gat ss mez ; § s ss Ia e. Í ; rege 
Az algoritmus egy FT) — imát mrj —n polinomot használ, ahol"! — ivn]ész —0,-1, 2, . . . Az f(T) 
értékek kiszámítása mellett az algoritmus meghatározza azok faktorizációs felbontását 15. 


Az algoritmus a továbbiakban megállapít egy 5 küszöbértéket és egy § listát, mely tartalmazni fogja azokat a F 
JET — 1 e (E) 

prímeket, amelyekre teljesülnek a következő tulajdonságok, b és Pp 5 B Esetünkbeni F / a Legendre 

szimbólumot jelenti. 


A kiszámolt TT) értékek közül csak azokat fogjuk eltárolni, amelyek faktorizációs felbontásában nincs egyetlen 
egy olyan prímtényező sem, mely ne szerepelne az § listában. A szakirodalom [15] az ilyen tulajdonságú 
elemeket B-sima tulajdonságúnak nevezi, Jobb híján megtartjuk ezt az elnevezést. A B érték meghatározására a 
javasolt érték 


BR — evinn ln In rz 


Ha az 5 lista elemszáma k és f 7 ) faktorizációs felbontása 


b 


11 ré jlle 


j—I 
alakú, akkor a meghatározott f(T:lk száma legalább eggyel több kell hogy legyen, mint k. 


Minden egyes prímtényezős felbontásban az €: kitevőkhöz hozzárendelhetünk £ dimenziós vektort a következő 
módon: 

U; — (Vy1, Vizy. . . Vik); 

ahol Vis — eiy [mod 2), j3—1,2,...k. 

Ezek után azokat a vektorokat kell kiválogatnunk, amelyeknek az összege 0-at eredményez (mod 2]. A 


módszer kitalálója ezzel biztosítja, hogy ha ezeket az TIT: ) értékeket összeszorozzuk, akkor teljes négyzetet 


kapjunk, esetünkben V". A hozzátartozó TT - T; értékeket összeszorozva megkapjuk :r7-et is. Ezek után már 
csak a feltételeket kell ellenőriznünk. A következő példa jól illusztrálja a módszert. 


9.15. Példa. Határozzuk meg az n — 453857 osztóit. 


Legyen  !"! — vn7- 159 gs §7-1—1,2,3,23,41,43,47) . — Alkalmazzuk az 
kV há i I 

fiz) —(mdázj —n függvényt a fenti módon. A létrejövő prímtényezős felbontást és a LU: 

vektorokat a táblázatban közöljük. 
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tl e fir) ] m-34ri! f(lr) felbontása U; 
11 d ] 788 ] 157 Í (—1)9882.41 Í Ül00100 


tag 6 
— i 
a € 


3174 ! 169 2.3.23 (0110000 
-3483 Í 148 (eg) 3843 (1000010 
17 ] 5589 176 37.23 (0011000) 
-29 ! -8487 ! 130 [(—1):32£:23-41 1 (1001100) 

32 ] 11094] 191 23.43 (0110000) 
8] 80 1 31734] 239 2.34.41.-43 1(0100110) 


-1978 153 —1:2:23:43 1 (1101010) 


—— 
i 

[/ 

e 


ága. GT 


d] 


Könnyen ellenőrizhetjük, hogy Va t vs b vs tvr b va — 0. A megfelelő f (TT) felbontások 
összeszorzása után teljes négyzetet kapunk, amelyet § -el jelölünk, így 


y — ((—1) 37-43) - (37 . 23) - ((—1) (37 - 23) -(2-3-437) - (237 - 41 43). 


Ekkor a következő r és § értékeket kapjuk, 
y s (—1) .2-37 - 2341 - 437 — 22426 (mod 25387), 
r s 130 - 148 - 176 - 191 . 239 — 22426 (mod 25387). 


Ebben az esetben azt kapjuk, hogy T — 4 (mod n ), ami azt jelenti, hogy Tr és Y nem felel 
meg céljainknak. Keressünk tehát új :x és § értékeket. 


Esetünkben V3 1 vy — Ü, így a megfelelő f (íz) értékek kiválasztása után azt kapjuk, hogy 
y" (2-3. 237) (2.3 . 437) — 22 . 32237 . 432. 
Ekkor könnyen adódik, hogy 


ye 2-3-23 43 — 5934 (mod 25387), 
r 169 -191 — 6892 (mod 25387). 


Esetünkben teljesül, hogy 


rTzy (mod n), 

r-(—y) (mod n). 

Ezek után az Euklidészi algoritmus használatával meghatározzuk a módszerben ismertetett 
legnagyobb közös osztókat, he yn), illetve (7-tu4.n) értékeket, és így megkapjuk nm 


faktorait, esetünkben 


(6892 — 5934, 25387) — 479 (6892 7 5934, 25387) — 53. 


3. Feladatok 


1. 


Határozzuk meg a Fermat faktorizációs módszer segítségével 517 egyik prímosztóját! 
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2. 
Határozzuk meg 2041 osztóit a Fermat faktorizációs eljárás módosított változatával! 
3. 
Határozzuk meg 25661 egyik prímosztóját a Pollard-féle heurisztikus / -módszerrel. Használjuk az 
fir —rő 31 polinomot és az To — 2 pontot! 
4. 
Határozzuk meg 4087 valamely prímosztóját a Pollard-féle heurisztikus -módszerrel! Használjuk az 
flzy—rtrit1 polinomot és az To — 2 pontot. 
5; 
Döntsük el a megismert eljárások alapján, hogy 2701 prím-e vagy sem! 
6. 
Határozzuk meg a legkisebb pszeudoprímet az 5 alapra nézve! 
7. 
Mutassuk meg, hogy 65 erős pszeudoprím a 8 és 18 alapokra nézve, de nem az a 18 alapra nézve, amely 8 és 
18 szorzata mod 65]! 
8. 
Igazoljuk, hogy 17 prím az AKS algoritmus felhasználásával! 
9. 
Igazoljuk, hogy az 1729 Carmichael szám! 
10. 


Határozzuk meg 20473 faktorait kvadratikus szita használatával! 
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Egy ideje egyre több helyen találkozhatunk az ECC betűhármassal, amely egy nyilvános kulcsú kriptorendszert 
jelöl. A betűszó az angol Elliptic Curve Cryptosystem elnevezés rövidítéséből ered, amely elliptikus görbéken 
megvalósított titkosítást jelent. Nagy előnyének említi a szakirodalom, hogy az RSA-nál kisebb méretű 
kulcsokkal érhető el ugyanakkora biztonság, sokkal gyorsabb a működése, kisebb a tárigénye a kulcsok 
tárolásához. 


Az elliptikus görbék története a 17. század végéig nyúlik vissza, amikor Isaac Newton (1642-1727) és Gottfried 
Wilhelm Leibniz (1646-1716) egymástól függetlenül kidolgozták a differenciál- és integrálszámítás elméletét. 


Isaac Newton 


Gottfried Wilhelm Leibniz 





Az új matematikai eszközöket a kor tudósai előszeretettel alkalmazták olyan fizikai problémák megoldására, 
amelyek geometriai megfontolásokat igényeltek. Általában olyan görbék meghatározása volt a feladat, 
amelyeket egy adott , részecske" bizonyos kényszererők hatására leír. Jakob Bernoulli (1654-1705) a következő 
problémát vetette fel. Melyik az a görbe, amely mentén leguruló test egyenlő időközök alatt egyenlő utakat tesz 
meg. E probléma vizsgálata során jutott el az (e Tt y")2 — 2a? Éz NN y?) görbéhez, amelyet egy , elfordított 
nyolcashoz" hasonlította és lemniscusnak nevezte el, amely görögül szalagot jelent. A fenti egyenlettel 
meghatározott görbét, Bernoulli-féle lemniszkátának szokás hívni. Az ívhosszának tanulmányozása az 


. 1 
————— dr 
J h/ ]l — gt 


integrálra vezet és ezt elliptikus integrálnak nevezik, mivel a probléma rokon az ellipszis ívhosszának 
kiszámításánál felmerülő problémával. Az ilyen típusú függvények inverzeitt elliptikus görbéknek nevezzük. 


Az elkezdett munkát Giulio Carlo Fagnano (1682-1766) olasz matematikus folytatta, később Leonhard Euler 
(1707-1783) munkája alapozta meg az elliptikus integrálok elméletét. A további fejlődést az elliptikus görbék 
elméletében Adrien-Marie Legendre (1752-1833), Niels Henrik Abel (1802-1829) és Carl Gustav Jakob Jacobi 
munkássága jelentette. 
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Az 1980-as évek közepén Neal Koblitz (University of Washington) és Victor Miller (IBM) javasolták, 
egymástól függetlenül, az elliptikus görbék kriptográfiai alkalmazását. 


Azért, hogy kedvet kapjunk a következő matematikai fejtegetésekhez nézzük meg, az előzőekben ismertetett 
három kriptorendszer általánosan, vagy szabvány szerint használt kulcsméreteit. Az egy sorban lévő 
kulcsméretek közel azonos biztonságot nyújtanak ([18]). 


nodulu AES RSA modulus RSA 
12 56 512 
61 80 1024 
56 128 3072 ] 
84 192 71680 Z 
256 15630 c 


Ma 





A táblázat egyértelműen visszatükrözi a bevezető sorokban már említett tényt, miszerint az elliptikus görbéken 
alapuló titkosítási rendszer sokkal kisebb kulcsmérettel 15 megfelelő biztonságot nyújt. 


Az elliptikus görbék elméletének kezdeteiről már tettünk említést, jól láthatóan egy bonyolultabb elméletről van 
szó, mint amit az RSA vagy az AES kifejtésénél láthattunk. A következőkben némi matematikai hátteret 
nyújtunk a megértéshez. 


1. Az elliptikus görbe fogalma 


Az elliptikus görbék elméletének alapos megismeréséhez számos kiváló könyvet tudunk ajánlani (lásd például 
[3], [8]). Jelen fejezetben azonban nem törekszünk kimerítő alaposságra, csak a témánk megértéséhez szükséges 
elméleti háttér ismertetésére. 


10.1. Definíció. Legyen K egy olyan test, melynek a karakterisztikája nem kettő, nem három 
és legyen 


yvy-s-tarttb abteKk 


egy olyan harmadfokú polinom, amelynek nincsenek többszörös gyökei. Egy K test feletti 
elliptikus görbe olyan F (z,y) pontok halmaza, ahol az T.y € K koordináták kielégítik az 


yv—-ms tarib 
egyenletet, és hozzátartozik a görbéhez egy úgynevezett ( 1-val jelölt , végtelen távoli pont". 


Az elliptikus görbe diszkriminánsán a D — —16(4a" 4 27b?) kifejezést értjük. A diszkrimináns nem nulla, ha 
7 tartb polinomnak három különböző gyöke van, mint esetünkben. 


ratlőt RE a 


megadhatjuk. Ha D 7 Ü akkor az elliptikus görbe nem szinguláris (a görbe génusza 1). Ha 1! —Üésa —(, 
akkor a görbének a szinguláris pontban egy érintője van (cusp singularity). Ezt az esetet úgy jellemezhetnénk, 
hogy a görbe egy csúcsban végződik. Ha D — 0 ésa 7 Ü akkor a görbe szinguláris pontját csomópontnak 
(node) mondjuk, amelybe két különböző érintő húzható. Ebben az esetben a görbe elmetszi magát, ahogy a 
lentebbi példában is látható. A szinguláris esetekkel a továbbiakban nem foglalkozunk, de megemlítjük, hogy 
ezekben az esetekben a görbe génusza 0. 


82 
XMLmind XSL-FO Conrverter 


Elliptikus görbék 


A következőkben három elliptikus görbét ábrázolunk a diszkrimináns különböző értékeinél. Kriptolgráfidi 
céljainknak kizárólag a szingularitással nem rendelkező elliptikus görbék felelnek meg, azaz esetünkben 


10.1. ábra. Elliptikus görbék különböző diszkriminánsok esetén 


üss —B az —3 
b: 3 
D-0 


ky 






2. Műveletek a görbe pontjaival 
Az előbbiekben tárgyalt, szingularitással nem rendelkező görbéken a következőkben műveleteket definiálunk. 
1. 

Egy F pont additív inverze 


Egy Pilr,y) pont additív inverze az a —F pont, amely a pont x tengelyre tükrözött képe, amely szintén rajta 
lesz a görbén, és a koordinátái (T, —y) 


Két különböző pont összeadása 
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Legyen a görbe két különböző pontja PF és C) E két pont összegét jelölje ft, vagyis R—Fdt(é) A 
műveletet a következőképpen kell elvégezni: 


1. Kössük össze, a F és () pontot egy egyenessel! 
2. Az egyenes egy harmadik pontban metszi a görbét, ez a pont lesz az általunk — f-el jelölt. 


3. E pont xz tengelyre tükrözött képe az előző szabály szerint szintén rajta lesz a görbén és ez lesz az R pont. 


Egy F pont kétszerezése 


A 2F pont meghatározása az b) pontban ismertetett módon történik, azzal a különbséggel, hogy a két pont 
összekötése helyett, a F pontba húzott érintő jelöli ki — 4 pontot. Ebből a 2F előállítása az a) pontban 
ismertetett módon zajlik. 


10.2. ábra. Műveletek 





Érdemes észrevenni, hogy az összeadás előzőleg ismertetett művelete egy eset kivételével az ábrázolt görbe egy 
pontját állítja elő. Az egyetlen eset az, amikor az (Ty) esz, —4) pontok összeadását végezzük. Ekkor az 
előzőleg definiált végtelen távoli pontot kapjuk, amely a definíció értelmében hozzátartozik az elliptikus 
görbéhez. A görbék pontjainak ilyen típusú összeadását Carl Gustav Jacob Jacobi javasolta először 1835-ben. 


Megjegyezzük, hogy az összeadás könnyen elvégezhető algebrai úton 1s, hiszen egyenesek és az elliptikus görbe 
metszéspontjait kell számolnunk. 


Az additív inverzet már láthattuk, a többi eset a következő. 
1. 
Két különböző pont összeadása 


Ha Plri.wi) és Ta. y2) pontok nem egymás ellentettjei, akkor a RzI F 1 () pont koordinátáit 
megadhatjuk az 7 — (yi — 42]/ÍT1 — T2) kifejezés felhasználásával, 
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2 
£RH—S§ —£] — eg, 


uk — s(T1— TR) — 4. 


Egy adott pont kétszerezése 


Az előző jelöléseket használva, az H — 2 pont koordinátái a következőképpen adhatók meg 


7 2 
ari Ha ; 
IR — HEC TEN — AT] ) 


37" ta, , 
VR ——y1 Tt An s 7) ) . 


211 


Megmutatható, hogy a pontok a végtelen távoli ponttal együtt Abel csoportot alkotnak, ahol a zérus szerepét a 
végtelen távoli pont játsza. 


A végtelen távoli pontot eddig a képzelőerőnkre bíztuk, a pontosabb megértés érdekében néhány szóban 
kitérünk az úgynevezett projektív síkra. 


Projektív sík alatt (X,Y, Z) számhármasok ekvivalencia osztályait értjük (nem minden komponens nulla), ahol 
két számhármast ekvivalensnek mondunk, ha az egyik a másikból skalárral való szorzással származtatható. Egy 
ilyen ekvivalencia osztályt projektív pontnak nevezünk. Ha £ 7 Ü akkor egy és csak egy olyan pont van, amely 
ekvivalens az IT, y.1) számhármassal. Könnyen látható, hogy ebben az esetben a projektív sík pontjait meg 
lehet feleltetni az általunk jól ismert , szokásos" sík pontjainak. A 4 — Ü esetben kapott pontok alkotják a 


végtelen távoli egyenest.Az f — 7 és V — 7 helyettesítést elvégezve az általunk tanulmányozott elliptikus 
görbén az 


Y27— X 4aXZz? 352 


egyenlethez jutunk. A 7 — 0 helyettesítés elvégzése után az X — ( értéket kapjuk. Azaz egyetlen olyan pont 


van az elliptikus görbén, amelynek a £ koordinátája nulla, a (0,1 0) ekvivalenciaosztály. Ezt a pontot végtelen 
távoli pontnak nevezzük és (7-val jelöljük. 


3. Elliptikus görbe a racionális számok teste felett 


Amennyiben a definícióban adott K test a racionális számok teste, azaz az a és b együtthatók racionális számok 
ésT,y €(, még többet tudunk a görbéről. Louis Mordell 1921-ben igazolta a következő tételt. 


10.2. Tétel. Egy racionális számok teste felett értelmezett elliptikus görbén a racionális 
pontok egy végesen generált Abel csoportot alkotnak. 


A tétel kibontásához egy új fogalomra van szükségünk. 


10.3. Definíció. Akkor mondjuk, hogy egy F pont rendje /V egy elliptikus görbén, ha /V a 
legkisebb olyan természetes szám, melyre NF — 0. 


Megjegyezzük, hogy természetesen nem szükségszerű ilyen /V létezése. A matematikusokat és kriptográfusokat 
erőteljesen érdekli az a kérdés, hogy egy adott elliptikus görbén található-e véges rendű pont. Különösen fontos 
kérdés ez a racionális számok teste felett értelmezett elliptikus görbék esetén. 


A Mordell tételben említett Abel csoport struktúráját 15 ismerjük. A csoport egy végesen generált torziós 
részcsoportból (a véges rendű pontok) és véges számú végtelen rendű elem részcsoportjából áll. Ez számunkra 
azt jelenti, hogy létezik r végtelen rendű Fi, Fay... Fr pont és 641 : Ca, - - . es prímhatvány rendű pont úgy, 
hogy az elliptikus görbe minden racionális pontja felírható 


F —- ni Fi tTnaFa- tt nyF, th miéh Tt irnaüda " " :m Cds 


89 
XMLmind XSL-FO Conrverter 


Elliptikus görbék 


TT, aga 7 ha. ei 
alakban, ahol n; € £ és Mi E 47 Di 


A végtelen rendű elemek számát az elliptikus görbe rangjának nevezzük. 


4. Elliptikus görbe véges test felett 
F, 


elliptikus görbének legfeljebb 29 Tt 1 pontja lehet. Ami azt jelenti, hogy 29 darab (z, u] pár és az előzőekben 
definiált végtelen távoli pont. Megfigyelhetjük, hogy minden lehetséges :r-hez legfeljebb kettő § érték tartozik. 


Az, hogy mennyi pont van ténylegesen az FG feletti elliptikus görbén általában nem tudjuk. Helmut Hasse 
(1898-1979) következő tétele egy becslést ad a pontok számára. 


Legyen " 4 egy véges test és tekintsük az E elliptikus görbénket ezen test felett. Könnyű látni, hogy egy ilyen 


10.4. Tétel (Hasse). Legyen ! az E §-pontok száma az bg véges test feletti E" elliptikus 


görbén. Ekkor 





N—-(a3t 0] £279 


A könnyebb érthetőség miatt a következőkben tekintsük a vizsgált elliptikus görbét a dp test fölött. Használjuk 
fel a moduláris aritmetika ismert szabályait a következőkben. Legyen 


y sr hari b (mod pj), 
ahol P prím. 


Egyszerűen úgy fogalmazhatnánk ebben az esetben, hogy ha az egyenlet mindkét oldala ugyanazt a maradékot 


adja P-vel történő osztás után, akkor a PP ( 1, 4; ) pont a görbe pontjai közé tartozik. A pontokra és az előzőekben 
említett diszkriminánsra legyenek érvényesek a következők 


1. 


0O£r£p—1e0£yécp—1 


valamint [da" 4 277) (mod p) A 0, 
Első látásra nehézkesnek tűnik a munka egy ilyen véges test felett értelmezett elliptikus görbével, de ha kicsit 
jobban szemügyre vesszük sok figyelemre méltó tulajdonságát fedezhetjük fel. A következők segítenek céljaink 
megvalósításában, 


1. 


a valós számokkal való számolás lassú és pontatlan, a moduláris aritmetika gyors és pontos, csak egész 
számokkal dolgozik, 


a , valós" görbének végtelen sok pontja van, a modulárisnak jóval kevesebb, 


a moduláris aritmetikában behatárolható a számok értelmezési tartomány, mert a műveletek operandusa (a) és 
eredménye mindig (lés P 7 l közé esik, 


a moduláris aritmetika alkalmazása megnöveli a kriptográfiai megoldások számát. 
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Az ilyen görbék másképpen néznek ki, mint azjáltalunk jól ismert valós görbék. A szimneetrta lUdgyanakkor 
továbbra 15 megmarad, csak sok esetben nem az tengelyre vonatkozóan. A következő ábra ; ÉS 
paraméterek által definiált , görbét" mutatja (lásd [18]). Megfigyelhetjük, hogy: 


1. 
11 darab pontja van a görbének, 
2 
ebből 1 darab az origóban (mert 4 — ()), 
A: 
10 darab viszonylag véletlenszerűen, de az § — 5, re szimmetrikusan helyezkedik el, ezért 
4. 


minden r értékhez továbbra 1s kettő §Y tartozik. 


2 


10.3. ábra. az E:vV—T 41r-0 (mod 11) , görbe" 


! 


L.J 
ge: 
BA e 
EFt e a 
át h.) L.J 
L.J 





A pontosság kedvéért közöljük fenti görbe pontjait, melyek a következők: 
(00), [5.3], (7 í 3], (8, 9], (9.1), (10,3], (5.8), (78), [86], [9.10], (108). 


Az E görbe pontjainak száma (amit egyébként a görbe kardinalitásának vagy rendjének is hívnak és általában 


E (p) -vel jelölik) most csak véletlenül egyenlő P-vel. Azokat a görbéket, amelyek pontjainak száma 
megegyezik P-vel, rendhagyó görbéknek (anomalous curve) nevezzük és gyakorlatilag az összes szabvány tiltja 
használatukat, mert létezik hatékony támadási módszer az ilyen görbét használó ECC-rendszer ellen. 


5. Műveletek a görbe pontjaival 


1. 
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Additív inverz 


A valós számokon értelmezett görbe esetén a P(ry ) pont additív inverze az (7, —W) pont volt. Most is 
ugyanez a helyzet, csak figyelembe vesszük a modulust is. Az (z, —y (mod p)) kifejezés alatt a 
továbbiakban az (T.P —y (mod p)) pontot értjük. Ha megnézzük az előző ábra megoldásait, láthatjuk, 
hogy az egymással szemben lévő pontok §Y koordinátáinak összege mindig PF — 11. Például (5.3) és 
[58] c 3 t 8 ős IL. Tehát egy R— —F pont kiszámolása a következőképpen történik £R — £P és 
yR — —yp (mod p) 


Összeadás 


Nyilvánvalóan nem működik az előzőekben ismertetett módszer, hogy , kössünk össze? két pontot, és 
keressük meg a harmadik metszéspontot, és nem jó a pont kétszerezéséhez kitalált módszer sem. 
Egyszerűnek látszik ugyanakkor a korábbi algebrai eredményeket egyszerűen átvétele a moduláris aritmetika 
szabályai szerint. Azaz 


s — (yp —vojlrp— To) " (mod p) 
TR — 8 —gm P—TOo (mod p) 


un — s(rp— TR) —yp (mod p) 


6. Diszkrét logaritmus 


A knapsack rendszer bevezetésénél már említettük, hogy minden nyilvánoskulcsú kriptorendszer alapja egy 
olyan probléma, amit gyakorlatilag lehetetlen megoldani. Ez számunkra azt jelenti, hogy, hogy a megfejtéshez 
szükséges idő sokkal, de sokkal nagyobb, mint amennyi idő az információ megszerzéséhez rendelkezésre áll. Az 
elliptikus görbéken megvalósított titkosításnak (ECC) 1s egy ilyen probléma adja a biztonságát. A problémát a 
szakirodalom ECDLP (Elliptic Curve Discrete Logarithm Problem) jelöléssel használja, jelentése , diszkrét 
logaritmus elliptikus görbék feletti" kiszámolásának problémája. 


1991-ben néhány kutató elkészítette az RSA algoritmus elliptikus görbén alapuló változatát 15, de néhány évvel 
később többen ís megmutatták, hogy az elliptikus RSA-nak (ECC-like RSA) nincs számottevő előnye a 
hagyományos RSA-val szemben. Az ECRSA problémája egyébként továbbra 1s a faktorizálás maradt. 


Eddig lényegében két műveletet definiáltunk a görbén, a la összeadását és 89y pont duplázását. Ha 
elképzeljük az általunk könnyen elkészíthető sorozatot R h-t R2Rit RöÖhtn, rájövünk, hogy 
tulajdonképpen már szorozni 15 tudunk. Az így képzett 6) — nR pontot a pont skalár szorzatának nevezzük. 
Belátható, hogy az n természetes szám meghatározása a szorzat alapján nem egyszerű feladat főként, ha a 


Vé , 3 
görbét egy 7 test felett értelmezzük. 


10.5. Definíció. Legyen E egy Zp test feletti elliptikus görbe és H egy pont a görbén. Ekkor 
az F-n értelmezett 5 lb logaritmusos problémáról beszélünk (az ft alapra vonatkozóan), 
ha adott egy E E . pont és keressük azt az n természetes számot, melyre nR — (6) 
egyenlőség teljesül (ha ilyen n létezik). Ebben az esetben nm diszkrét logaritmusa () nak a P 
bázis felett. 


A diszkrét logaritmus előbb definiált szorzása és az elliptikus görbén értelmezett összeadás, lényegileg ugyanaz. 


Megjegyezzük, hogy az ECDLP-n alapuló rendszerek többsége aláíró vagy kulcscserélő rendszer, mert gyors 
titkosításra ez a módszer 15 alkalmatlan. A következőkben néhány működő rendszert tekintünk át. 


6.1. ECDH - Elliptic Curve Diffie - Hellman kulcscsere 


Az eredeti Diffie-Hellman algoritmus a szimmetrikus titkosító rendszerek kulcsmegosztási problémáját oldotta 
meg. A két résztvevő ugyanazokat a műveleteket végezte el egyező nyilvános és különböző titkos 
paraméterekkel, de azonos eredményt kaptak, melyet kulcsként használhattak. Az ECDH 15 ugyan így működik, 
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csak nem moduláris hatványozást használ, hanem a fejezet eddigi részében megismert elliptikus görbe 
műveleteket. 


10.6. Példa. Szemléltessük egy példán keresztül: 


Alice és Bob megegyeznek egy E" görbében és egy CG" pontban, utóbbit bázispontnak hívjuk. A 
továbbiakban eme paramétereket nyilvános rendszerparamétereknek tekintjük. Alice választ 
egy véletlen számot, (amely kisebb, mint a (r pont rendje) és ugyan így tesz Bob is: Alice 
száma legyen a, Bobé legyen b. Mindketten titokban tartják választásukat. A kulcscsere 
következő lépésében Alice kiszámolja aCr pontot, melyet elküld Bobnak, aki Alice 
műveletéhez hasonlóan kiszámolja bír pontot és elküldi Alicenek. Végül Alice a Bobtól 
kapott h(r-t megszorozza a-val, így megkapja ab(r pontot, valamint Bob az Alicetől kapott 
a(r pontot szorozza meg titkos b számával és eredményül ő 1s az ab(r pontot kapja. A közös 
pont valamely tulajdonsága (például xr vagy Y koordinátája vagy éppen T ft YV, r XOR 4, stb.) 
használható kulcsként. A kíváncsi Eve-nek az abí(r pontot kellene kiszámolnia, de csak Úr, 
a(r és bír pontokat ismeri, magukat a titkos a és b számokat nem. Az elliptikus Diffie- 
Hellman működését és lépéseit az alábbi egyszerű számpélda alapján követhetjük: 





T he , a ? " csi " § / 49. § Ld "e ) j 
"vilvános paraméterek Legven Ek : y" s r$15rig8 (mod 23) és G(S, 10 


. titkos paraméterek: Alice választ: a — 7 


Bob választ: b — 3 


. Kuüleselőkészítés: Alice számol: Bob számol: 
1G(8. 10) 1G(8.10) 
2G(13.4) 2G(13. 4) 
3Cr( 20. 9) 3(r(20.9]) 
IG(22,18) bG — (20.9) 


5G(6, 1) 
0G(2.18) 
7G(7.15) 
aG — (7.15) 





. Kommunikáció: Alice eredménye: a(r — ! Bob eredménye: — bG 
Egyeztetett kulcs] 1G(20,9) T 1aGTT,15) 
2bG(12.18) 2aG(13. 19) 
3b5G(7, 8) 34G(6. 1) 
40G(22.5) baGI6.1) 


50G(S, 13) 
Gb(Gr(13.4) 
7bG(6G. 1) 

abG(6.1) 





6.2. ECEIGamal-Elliptic Curve ElGamal titkosítás 


Ahogy az eredeti ElGamal titkosítás a Diffie-Hellman algoritmus problémáján alapul, úgy építhető fel az 
elliptikus ElGamal 15 az ECDH-ra: 


1. 


Alice és Bob választ egy E görbét és egy (Gr bázispontot. 


89 
XMLmind XSL-FO Converter 


Elliptikus görbék 


Mindketten választanak egy-egy véletlen a és b számot, mint titkos kulcsot. 


Alice elküldi az a(r pontot, mint nyilvános kulcsot Bobnak. 


Bob elküldi a b(G pontot, mint nyilvános kulcsot Alicenek. 


Ha Alice üzenni akar Bobnak, az üzenetet leképzi a görbe egy (vagy több) / pontjára, és generál egy 
véletlen k számot, mint viszonykulcsot. Elküldi Bobnak a (AG, MA klbCr)) üzenet párost. 


Bob a következőképpen olvassa el az üzenetet: a kapott küldemény első felét megszorozza saját titkos ( 
számával, így bk (r-t kap, amit egyszerűen kivon a küldemény második feléből. 


6.3. Elliptikus görbén alapuló digitális aláírás, ECDSA-EIliptic 
Curve Digital Signature Algorithm 


Ahhoz, hogy Alice egy 4/ üzenetet aláírva el tudjon küldeni, következő paraméterek és eszközök szükségesek: 


1. 


egy elliptikus görbelmod 7) felett (nyilvános paraméter), 


egy G bázispont, melynek rendje n (nyilvános paraméter, " 7 160 bit), 


egy véletlen d számil £d£n—-l1]és egy 4 — dG pont. Alice kulcspárja (d, 69), ahol d a titkos és 6 a 
nyilvános kulcs. 


7. Az aláírás algoritmusa 


Alice választ egy k számot 1 és n — 1 között. 
Kiszámolja FC — (Ti, yi) pontot és T — Ti (mod n) Ha a pont xr koordinátája zérus (Ti — 0] akkor új k 


számot választ. A pont mr koordinátája lesz az aláírás egyik komponense, ezért jelöltük meg külön egy r 
betűvel. 


Kiszámolja k multiplikatív inverzét r1-re (7 (mod n])]) 


Kiszámolja a küldendő üzenetpecsétjét, melyre a szabvány az SHA-l algoritmust ajánlja. Legyen hát 
e — SHA-1(M) (számként értelmezve)! 


. , — 7-—lfe SEEN) sé ; 
Az aláírás másik alkotóeleme: 7—K ledtdr) (mod n] Abban szerencsétlen esetben, ha s — Ü, akkor 
az egész algoritmust elölről kell kezdeni. Itt láthatjuk, hogy a 2. lépésben miért nem lehet r — (), ekkor az 
aláírás nem tartalmazná a titkos kulcsot! 


Az M üzenethez és Alicehez tartozó aláírás: IT: § 1. 
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8. Feladatok 


Az ő "zg —dőrx egyenletű elliptikus görbén adottak a !P — (—3,9) és 62 — (—2,84 pontok. Határozzuk 
meg a F 1 (2 és 2P pontokat! 


a 
Ez 


Határozzuk meg a P - (23) pont rendjétaz U — T-1 elliptikus görbén! 


Tekintsük az Y2? —2yY — X? — X? valós együtthatós elliptikus görbét és rajta a F — (00) pontot. 
Határozzuk meg a 2 F pont koordinátátt! 


Tekintsük az ga éeös e tés ÉG (mod 11) elliptikus görbét. A görbének egyik pontja a P — (0,7) 
Határozzuk meg azFáFPa4aF oP 6F(rFSF9F1OP pontokat. 


Az előző feladatban definiált elliptikus görbe segítségével küldjünk el egy üzenetet az ECElGamal módszer 
útmutatása szerint. Legyen a küldendő szöveg M 7123] a bázispont legyen a" — (07 ]b—3ésk—6. 
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